Implicazioni legali sull’utilizzo di sistemi di Data Leakage...Implicazioni legali sull’utilizzo...

A Websense® White Paper

Implicazioni legali sull’utilizzo di sistemi di Data Leakage


2

A cura di Gabriele Faggioli, membro della Faculty del MIP (School of Management del Politecnico di Milano) e membro del Comitato Tecnico Scientifico del Clusit. E’ autore di diversi libri come “I contratti per l’acquisto di servizi informatici” (Franco Angeli), “Computer Forensics” (Apogeo), “Privacy per posta elettronica e internet in azienda” (Cesi Multimedia), e di numerosi articoli aventi ad oggetto il diritto dell’informatica.

Websense Data Security Suite permette di verificare se il contenuto di una mail (testo e allegati) corrisponde, anche solo in parte, al contenuto di uno o più file che siano stati indicati come contenenti dati o informazioni sensibili o riservate. In particolare il prodotto, creando il fingerprint dei dati contenuti in file, directory o database, ritenuti sensibili o confidenziali dall’azienda, confronta il fingerprint di tutti i dati in uscita, su qualunque canale, e verifica se esiste una corrispondenza con le informazioni ritenute confidenziali, in tal caso può bloccarne l’invio avvisando il soggetto preposto.

Qualora invece non vi sia tale corrispondenza, il dato viene regolarmente inviato e dell’operazione di verifica rimane l’evidenza della sua effettuazione senza alcuna indicazione in merito al contenuto dei messaggi e/o degli allegati.

É evidente che i principali canali di fuoriuscita di dati riservati, risultano essere la posta elettronica (sia aziendale che personale, magari basata su webmail) e il web con i vari servizi di blogging e/o messaggistica istantanea; sorgono quindi alcune domande che includono anche un appròccio conforme alla Legge, su possibilità e limiti di questi controlli.


3

Table of Contents:

Una prima domanda: cos’è un’ e-mail?............................................................................

Esistono dati e informazioni tutelati in modo particolare?..........................................

Websense Quali regole generali applicare all’uso di internet e della posta elettronica (e più in generale dei sistemi di telecomunicazione) da parte dei lavoratori?.....................................................................................................

Quali controlli possono essere effettuati?......................................................................

Quali profili particolari di supporto mi può fornire un sistema di questa natura?....................................................................................................................

Conclusioni..........................................................................................................................

4

4

5

6

7

8


4

Una prima domanda: cos’è un’ e-mail?Il 1 gennaio 2006 è entrato in vigore il Codice dell’amministrazione digitale (decreto legislativo 7 marzo 2005, n. 82) che ha sostituito tutta la disciplina previgente in materia di valore probatorio del documento informatico e firme elettroniche.

In base al nuovo Codice, per documento informatico deve intendersi la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. Sul piano probatorio, il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici (se conformi alle regole tecniche di cui all’ articolo 71 del Codice) sono validi e rilevanti agli effetti di legge.

Tuttavia, l’idoneità del documento informatico a soddisfare il requisito della forma scritta è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità. L’e-mail è un documento informatico che ha dunque un valore a livello probatorio e che, se non sottoscritta con forma elettronica qualificata o digitale, è liberamente valutabile dal giudice, che potrebbe persino ritenerla idonea a soddisfare il requisito della forma scritta.

Da tali considerazioni e, ancora di più, essendo indiscutibile che tramite i messaggi di posta elettronica possono essere trasmessi dati o informazioni rilevanti con modalità o a destinatari in contrasto con gli interessi aziendali, emerge la necessità di decidere se gli indirizzi e-mail forniti al lavoratore dall’azienda siano recapiti personali (con applicazione pertanto dell’art. 616 c.p. che tutela la segretezza della corrispondenza chiusa di natura personale) o, invece, indirizzi aziendali.

Sul punto, le Linee Guida del Garante per la Protezione dei Dati Personali lasciano intendere che la scelta spetta al datore di lavoro. Tipicamente, tuttavia, gli indirizzi e-mail forniti dall’azienda sono considerati dall’azienda stessa univocamente indirizzi aziendali.

Qualora questa sia la scelta, allora la stessa deve essere comunicata ai lavoratori all’interno della policy sull’uso delle strumentazioni informatiche e telematiche che deve essere necessariamente adottata dal datore di lavoro qualora raccolta o comunque tratti dati inerenti l’uso delle strumentazioni e/o qualora intenda prevedere controlli.

Esistono dati e informazioni tutelati in modo particolare? Al di là delle previsioni del d.lgs 196/03 in materia di protezione dei dati personali che fissa una serie di noti principi e regole nel trattamento dei dati stessi e che prevede la categoria dei dati sensibili, è bene considerare che dati o informazioni “critiche” per l’azienda potrebbero non essere considerati dati sensibili o addirittura non essere dati tout court.

Si deve quindi avere come riferimento l’articolo 98 del d.lgs. 30/2005 (Codice della Proprietà Industriale) che, con riferimento alle informazioni segrete, ha stabilito che:

Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-1. industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni:

siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione a. e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;abbiano valore economico in quanto segrete;b. siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a c. misure da ritenersi ragionevolmente adeguate a mantenerle segrete.


5

Costituiscono altresì oggetto di protezione i dati relativi a prove o altri dati segreti, la cui 2. elaborazione comporti un considerevole impegno ed alla cui presentazione sia subordinata l’autorizzazione dell’immissione in commercio di prodotti chimici, farmaceutici o agricoli implicanti l’uso di nuove sostanze chimiche.

Evidente è che il datore di lavoro ha diritto di adottare sistemi di protezione di tali informazioni, seppur nel rispetto dei provvedimenti e nei limiti (tra gli altri) di seguito succintamente indicati. Un analisi di dettaglio delle singole circostanze per verificare caso per caso quale sia la migliore e lecita strada da seguire.

Websense Quali regole generali applicare all’uso di internet e della posta elettronica (e più in generale dei sistemi di telecomunicazione) da parte dei lavoratori?La linea di confine tra vita personale e professionale sul luogo di lavoro può essere tracciata a volte solo con grande difficoltà. Evidente però è che sia il Garante, sia precedentemente il Data Protection Working Party, sia la Corte Europea sui diritti umani, sono unanimi nel considerare il luogo di lavoro come una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l’esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali.

In questo contesto si è inserito il provvedimento del Garante per la protezione dei dati personali del 1 marzo 2007 che contiene le linee guida in materia di controllo da parte del datore di lavoro sull’utilizzo di internet e della posta elettronica da parte dei dipendenti. Il testo sostanzialmente si fonda sui seguenti assunti fondamentali:

La necessità di adottare una serie di misure a tutela della riservatezza degli interessati; •L’esistenza di una serie di divieti con conseguente identificazione di una serie di comportamenti •da ritenersi illeciti;L’opportunità di applicare una serie di procedure di carattere organizzativo e tecnologico al •fine di migliorare il sistema di relazioni fra il datore di lavoro e i lavoratori.

Come si può intuire, i primi due punti corrispondono a precetti vincolanti che ribadiscono e specificano i contenuti del d.lgs 196/03 mentre il terzo indica in via esemplificativa alcune possibili modalità attuative del provvedimento.

Il Garante, ai fini della elaborazione delle Linee Guida, ha evidenziato la necessità di tenere in considerazione:

Il diritto alla protezione dei dati personali, e la necessità che il trattamento sia disciplinato •assicurando un elevato livello di tutela delle persone;Alcune discipline di settore, fatte salve dal Codice in materia di protezione dei dati personali •(d.lgs 196/03), che prevedono specifici divieti o limiti, come quelli posti dallo Statuto dei Lavoratori sul controllo a distanza (Articolo 4 Legge n° 300/1970). E’ infatti necessario che la disciplina di protezione dei dati si coordini con le regole di settore riguardanti il rapporto di lavoro e il connesso utilizzo delle tecnologie, qualunque esse siano;I principi generali del Codice in materia di protezione dei dati personali applicabili al controllo •su internet e posta elettronica e in particolare:

Principio di necessità o : i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite (art. 3 del Codice);Principio di correttezza o : le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori (art. 11, comma 1, lett. a), del Codice). Non devono essere svolti trattamenti occulti o con modalità non conosciute dai dipendenti;


6

Principio di pertinenza e non eccedenza o : i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (art. 11, comma 1, lett. b), del Codice). Il datore di lavoro deve trattare i dati “nella misura meno invasiva possibile”. Le attività di monitoraggio devono essere svolte solo da soggetti preposti ed essere “mirate sull’area di rischio, tenendo conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza”. Non devono essere trattati dati eccedenti rispetto alla finalità che si vuole perseguire.

In relazione al più generale principio della “correttezza”, il Garante ha sottolineato come l’eventuale trattamento da parte del datore di lavoro di dati personali relativi all’utilizzo di internet e posta elettronica deve essere ispirato ad un canone di trasparenza, come tra l’altro previsto dovendo pertanto escludersi a priori la legittimità di qualunque tipo di controllo occulto.

In punto, il Garante ha quindi specificato che compete al datore di lavoro “l’onere di specificare le modalità di utilizzo della posta elettronica e della rete internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati dei controlli”. Tale obbligo deve essere adempiuto dal datore di lavoro in modo chiaro e particolareggiato per evitare qualunque dubbio interpretativo.

Naturalmente, qualora si rientri nel campo dei controlli per i quali il Garante, in applicazione dell’art. 4 secondo comma dello Statuto dei Lavoratori, prevede l’obbligo della consultazione delle organizzazioni sindacali, occorrerà procedere con le formalità prescritte.

Le Linee Guida, al fine della migliore applicazione del principio della correttezza e della trasparenza, suggeriscono ai datori di lavoro di adottare un disciplinare interno, da sottoporre ad aggiornamento periodico, redatto in modo “chiaro e senza formule generiche” da pubblicizzare adeguatamente verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a quelle previste dall’art. 7 dello Statuto dei lavoratori.

Quali controlli possono essere effettuati?Le Linee Guida del Garante ipotizzano che sia possibile per il datore di lavoro utilizzare programmi che consentono controlli indiretti. Ed infatti, se i controlli direttamente effettuati sullo svolgimento dell’attività lavorativa sono da ritenersi radicalmente vietati in base alle disposizioni dell’articolo 4 primo comma dello Statuto dei Lavoratori, per come ribadite dalle Linee Guida, altrettanto non può dirsi per quei controlli che abbiano altre finalità, e cioè, ad esempio, quelle di tutelare i beni costituzionalmente garantiti dell’impresa, di permettere di individuare condotte illecite che si sostanzino non solo nella violazione degli obblighi di diligenza e fedeltà, di garantire la sicurezza del lavoro.

Risulta quindi in tutta evidenza che è l’oggetto del controllo che funge da discrimine per valutare la liceità o meno del controllo stesso e, di conseguenza, del trattamento dei dati che ne deriva (nel caso in esame: oggetto del controllo è la verifica della rispondenza o meno dei contenuti di e-mail o di allegati a taluni soli e specifici documenti che possono contenere informazioni di rilevanza per l’azienda).

Il principio di pertinenza e non eccedenza, che viene imposto dal Garante per l’effettuazione dei controlli da parte dei datori di lavoro, viene declinato sotto il duplice profilo della graduazione dei controlli e della modalità di conservazione del materiale raccolto in occasione degli stessi.

Controlli quindi che risultino graduati, proporzionati e correttamente finalizzati possono quindi ritenersi legittimi, fermo restando l’obbligo di rispettare le disposizioni tutte del d.lgs 196/03 e, se applicabile in relazione ai singoli casi, dell’articolo 4 secondo comma dello Statuto dei Lavoratori.


7

Quali profili particolari di supporto mi può fornire un sistema di questa natura?L’utilizzo di un sistema di verifica e controllo sui documenti in uscita dall’azienda può essere un validissimo strumento di supporto alle aziende che siano adempienti (o che vogliano adempiere) al d.lgs 231/01 inerente la responsabilità amministrativa (para-penale) delle persone giuridiche.

Questa tipologia di responsabilità è posta direttamente in capo agli enti (da intendersi come società, consorzi, ecc…) e deriva dalla commissione (anche) a proprio interesse o vantaggio di alcuni specifici reati da parte di soggetti posti in posizione apicale o subordinata.

I reati che possono fare scattare la responsbilità amministrativa della società sono:alcuni reati contro la fede pubblica (es: falsità in monete, carte di pubblico credito e valori di •bollo);alcuni reati societari (es: false comunicazioni sociali, illecita influenza sull’assemblea, •aggiotaggio, ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza);alcuni delitti in materia di terrorismo e di eversione dell’ordine democratico (con inclusione del •finanziamento ai suddetti fini);alcuni delitti contro la personalità individuale (lo sfruttamento della prostituzione, la pornografia •minorile, la tratta di persone e la riduzione e mantenimento in schiavitù) gli abusi di mercato (abuso di informazioni privilegiate e manipolazioni di mercato);•i reati di omicidio colposo e di lesioni colpose derivante dalla violazione della normativa •antinfortunistica (salute e sicurezza sul lavoro);alcuni delitti informatici e inerenti il trattamento illecito di dati (es. falsità in documenti •informatici; accesso abusivo a un sistema informatico o telematico; detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici; diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico).

Le sanzioni previste dalla normativa sono di quattro tipologie: la sanzione pecuniaria, le sanzioni interdittive, la confisca e la pubblicazione della sentenza.

In particolare, le sanzioni interdittive sono particolarmente rilevanti in quanto, a seconda della fattispecie, possono consistere nelle seguenti:

interdizione dall’esercizio dell’attività;•sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione •dell’illecito; divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di •un pubblico servizio;esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già •concessi; divieto di pubblicizzare beni o servizi. •

La commissione di uno dei reati sopra succintamente elencati non è di per sé sufficiente a comportare un’automatica responsabilità amministrativa dell’ente potendo quest’ultimo fornire al giudice le prove della propria incolpevolezza. In particolare, è previsto che se il reato è stato commesso da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso, l’ente non risponde se prova che:

l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del a. fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento b.


è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di vigilanza); le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e c. di gestione;non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di Vigilanza. d.

Nel caso di reati compiuti da parte di soggetti sottoposti all’altrui vigilanza, l’ente é invece responsabile se tale commissione è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza. Anche in questo caso, tuttavia, deve ritenersi esclusa l’inosservanza degli obblighi di direzione o vigilanza se l’ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi.

In definitiva l’ente, per non essere condannato in sede di verifica della sua responsabilità amministrativa, ha l’onere di dimostrare di aver adottato un’efficace politica aziendale tesa al rispetto della legalità e mirante a prevenire la commissione nel proprio interesse o vantaggio dei reati ex d.lgs 231/2001.

È chiaro quindi che un sistema di verifica, nei limiti sopra citati, del contenuto dei messaggi e-mail può essere rilevante al fine di individuare condotte dalle quali potrebbe promanare una responsabilità in capo alla società Si pensi infatti, in via esemplificativa, al rischio che dalla azienda vengano fatte fuoriuscire informazioni che potrebbero avere effetti sulla valorizzazione della quotazione in borsa di un titolo.

ConclusioniAlla luce delle considerazioni sopra esposte, si ritiene di concludere che:

Qualora l’Azienda sia interessata a utilizzare programmi per elaboratore o sistemi automatizzati 1. in grado di verificare se nel testo di e-mail o di allegati vi è in parte (rilevante) o in tutto un documento fra quelli ritenuti critici per l’azienda stessa, tali controlli non possono rientrare nel disposto di cui all’articolo 4 primo comma Statuto dei Lavoratori (non essendo controlli finalizzati a verificare lattività lavorativa quanto invece controlli a tutela dei beni cosituzionalmente garantiti dell’azienda) fermo restando che i controlli stessi dovranno comunque essere perlomeno finalizzati, corretti e pertinenti.Tali controlli dovranno essere stati portati a conoscenza del lavoratore tramite apposita policy 2. in adempimento al più generale principio di trasparenza. La policy dovrà contenere tutto quanto prescritto dal Garante per la Protezione dei Dati Personali nelle Linee Guida del primo marzo 2007.Occorrerà verificare, anche in base alle modalità di utilizzo del prodotto, la necessità di applicare 3. la procedura di cui all’articolo 4 secondo comma dello Statuto dei Lavoratori.Qualora sulla base delle risultanze dell’uso del prodotto emergesse il fondato motivo di ritenere 4. che siano state tentate o effettuate condotte illecite o comunque potenzialmente dannose per l’azienda, quest’ultima è legittimata a procedere a tutelarsi anche effettuando controlli più diretti e puntuali purchè, possibilmente, gli stessi avvengano per gradi (da valutare in base al singolo caso).Il sistema in commento potrebbe comunque essere un valido strumento a supporto del rispetto 5. del d.lgs 231/01.E’ utile comunque ricordare che nelle Linee Guida il Garante sottolinea con favore come, 6. nell’organizzare l’attività lavorativa e gli strumenti utilizzati, diversi datori di lavoro hanno prefigurato modalità d’uso che, tenendo conto del crescente lavoro in rete e di nuove tariffe di traffico forfettarie, assegnano aree di lavoro riservate per appunti strettamente personali, ovvero consentono usi moderati degli strumenti per finalità private.

© 2008 Websense, Inc. Tutti i diritti riservati. Websense e Websense Enterprise sono marchi registrati di Websense, Inc. negli Stati Uniti e in alcuni mercati internazionali. Websense ha vari altri marchi commerciali non registrati negli Stati Uniti e all’estero. Tutti gli altri marchi sono di proprietà dei rispettivi titolari. DSS_WP_IT_Oct08

Implicazioni legali sull’utilizzo di sistemi di Data Leakage...Implicazioni legali sull’utilizzo...

Documents

Transcript of Implicazioni legali sull’utilizzo di sistemi di Data Leakage...Implicazioni legali sull’utilizzo...