Buongiorno a tutti gli iscritti della lista. Ho seguito con vivo interesse tutti i messaggi che sono arrivati sulla problematica dell'accesso alla mail del dipendente, nonché i commenti sulla recente sentenza della Cassazione che in buona sostanza "assolveva" il datore di lavoro.
Io sono però fermo a "monte", nel senso che da un po' di tempo sto cercando di trovare il sistema di applicare la legge, in particolare le raccomandazioni del Garante di marzo 2007 (le quali terminano prescrivendo che l'adozione di un disciplinare interno deve essere concordata con il sindacato interno o, in mancanza di sindacato o di accordo, si debba ottenere autorizzazione preventiva da parte dell'Ispettorato). All'atto pratico, con la sola esclusione delle aziende di nuova costituzione e quelle che metteranno i PC in rete nei prossimi mesi (ed oggi si trovano a non avere macchine oppure avere postazioni stand alone con password sul bios e quindi non trattano informazioni personali relative al traffico Internet e mail), sono praticamente tutti fuori legge, poiché di aziende che abbiano raggiunto un accordo con l'ispettorato non ne ho ancora trovate. Quindi, se vi è un server, se vi sono log di tutti i tipi configurati "alla leggera" e vi è un datore di lavoro un po' "smanettone" o che, anche in perfetta buona fede, voglia farsi dei report sul traffico di rete o risolvere problemi in assenza del dipendente, sicuramente sta facendo un qualcosa di non corretto (reato sarebbe la parola giusta... Ma mi fa paura!). Se prendiamo questa persona, la rendiamo edotta che esiste la privacy, proviamo a scrivere una policy sensata, configuriamo il server ed i client in modo opportuno, insomma ci regolarizziamo nella pratica, rimane l'ultimo scoglio: la regolarità formale, ovvero la "benedizione" dell'Ispettorato. Intanto partiamo già male in quanto tale richiesta non può essere preventiva (come prevede la legge), in quanto se l'azienda già esiste e magari ha una rete da anni, al limite possiamo parlare di una presa d'atto che determinati sistemi informatici siano configurati correttamente ed attivi. Dal ministero del Lavoro sembra che indicazioni sui comportamenti da tenere per una sorta di "emersione" non ne stiano arrivando; gli uffici provinciali, in mancanza di un indirizzo ufficiale, sembra siano in difficoltà nel trattare la questione e comunque i tempi sono molto lunghi. Morale ci si trova di fronte al dubbio: continuo facendo finta che il Garante non abbia mai parlato di disciplinari interni, oppure mi adeguo facendo finta che il capoverso dove si parla dell'autorizzazione dell'Ispettorato non esista, oppure "spengo" tutta la rete informatica, avvio le pratiche all'Ispettorato ed aspetto? Mi scuso se l'ho fatta lunga utilizzando anche esempi molto banali, però vorrei sapere se qualche altro lettore ha il mio stesso problema: prima ancora di discutere dei contenuti del disciplinare e di come applicarlo... Sapere con chi discutere... Grazie F. Bongiovanni Pentha s.r.l. Servizi Integrati per le Imprese ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
