Prima di tutto chiariamo che la "distanza" in informatica non è una misura di spazio ma anche di tempo!
Spieghiamo velocemente un aspetto che abbiamo trattato in dettaglio nel nostro video-seminario a questo tema destinato. Si intende controllo a distanza non solo quello della video sorveglianza ma anche quello che a "distanza di tempo" può essere dedotto e valutato da una analisi Ex Post di log.
Una puntualizzazione utile riguarda il fatto che quando si parla di controllo a distanza ci si riferisce alle "attività dei lavoratori", non ai lavoratori in quanto persone fisicbe. Il datore di lavoro ha i suoi diritti, e quello che può essere individuato con "Interesse legittimo" giustificato dalla tutela contrabilanciata del patrimonio aziendale (Riforma dell' art. 4 Comma 3° dello Statuto dei lavoratori).
ELENCO CONTROLLI E REQUISITI DI SISTEMA
Il titolare/datore di lavoro individua e predefinisce gli strumenti di lavoro che anche solo potenzialmente comportano una attività di controllo a distanza delle attività dei lavoratori
Il titolare/datore di lavoro indica tra gli strumenti, quelli che sono necessari allo svolgimento delle mansioni, e li distingue da quelli che non lo sono
la lista degli strumenti necessari allo svolgimento delle prestazioni di lavoro si condive con le RSU, se presenti
Alcuni esempi di strumenti anche e non solo se connessi a servizi internet e di posta elettronica:
personal computers
computers portatili
computers palmari
tablets
telefoni cellulari/smartphones
altro .......................................................................................
Particolare attenzione a:
strumenti di registrazione degli accessi/uscite dai luoghi di lavoro
dispositivi di registrazione degli accessi intra-aziendali
Per gli strumenti/dispositivi considerati si formalizzi specifica 'policy' indicando condizioni e ai limiti di utilizzo
La Policy va resa nota a tutto il personale (dipendenti e collaboratori) a mezzo di un Disciplinare Interno
si divulghi il DI a mezzo:
la consegna a ciascuno del documento cartaceo
la messa a disposizione del medesimo sulla rete intranet aziendale
la sua affissione in luogo accessibile a tutti
Il titolare/datore di lavoro pianifica eventi specifici di formazione (Responsabile del Trattamento se ricevuto istruzioni)
Sono documentate/documentabili:
la comunicazione/messa a disposizione della policy
la (in)formazione sui contenuti della medesima
La Policy spiega anche le informative relative al trattamento dei dati raccolti sulle attività di controllo a distanza (eventuale liceità di trattamento proattiva per tutela patrimonio e sicurezza informatica)
Il contenuto delle informative deve essere coerente con le tipologie di strumenti di lavoro/dispositivi, ed è redatta una specifica informativa per ciascuna tipologia di strumento/dispositivo (o categoria di funzione aziendale)
Le informative dichiarano finalità determinate, esplicite, legittime
Le finalità di cui sopra corrispondono a quelle effettivamente perseguite
Le informative spiegano tutte le categorie di dati oggetto di ognuno degli specifici trattamenti nell'ambito delle attività di controllo a distanza
Devono essere esplicitate le caratteristiche essenziali dei relativi trattamenti (Rif. al Registro dei Trattamenti)
Le informative devono chiaramente elencare le categorie di destinatari cui i dati personali potranno/dovranno essere comunicati
Le attività di monitoraggio devono essere associate alle funzioni aziendali formalmente e correttamente
I lavoratori sono resi consapevoli, con informative allegate alle nomine come "soggetti autorizzati", sulla funzione/unità organizzativa aziendale a cui possono rivolgersi per l'esercizio dei loro diritti
Il titolare pianifica l'aggiornamento delle informative ai requisiti previsti dal Regolamento UE 2016/679 con particolare riferimento al periodo di conservazione dei dati personali e i criteri di utilizzo
La Policy deve avere esplicito riferimento alle informative relative alle modalità di controllo; tutte le informative sono distinte per tipologia di strumento/dispositivo (categoria delle funzioni dei soggetti autorizzati)
Le informative sul trattamento dei dati e quelle sulle modalità di controllo disseminate tramite:
accesso ad internet
servizio di posta elettronica
Per la navigazione internet il titolare/datore di lavoro, deve aver:
definito le categorie di siti non correlate alla prestazione lavorativa (Es.: Blacklist su Firewall)
disposto l'applicazione di filtri che prevengano determinate operazioni (
Es.:
sw DLP)
Per la posta elettronica il titolare/datore di lavoro, deve aver:
messo a disposizione dei lavoratori funzionalità d'uso semplici per l'invio automatico, in caso di assenze, di messaggi di rinvio ad altro lavoratore/funzione interna o altre modalità utili di contatto dell'organizzazione
disciplinato nella policy, in caso di assenza imprevista o prolungata del lavoratore, l'accesso alla sua casella di posta elettronica da parte di un collega fiduciario previamente delegato dal lavoratore interessato
disposto l'inserzione automatica nei messaggi di un avviso ai destinatari della natura professionale e non personale/confidenziale del messaggio stesso
Le modalità di controllo giustificate dal TdT rispettano il criterio della gradualità
I software mediante i quali è disposto il controllo devono essere configurati in modo da cancellare periodicamente e automaticamente i dati personali relativi agli accessi internet e al traffico telematico; precisare in quali casi si ricorre al prolungamento dei tempi di conservazione di determinati dati
Le attività di controllo devono essere conformi al principio di necessità compatibilmente con misure organizzative e tecnologiche finalizzate a prevenire il rischio di utilizzi impropri dei dati dei lavoratori
Il titolare/datore di lavoro accerta che le attività di controllo non comportino funzionalità vietate ad esempio:
la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, oltre quanto necessario tecnicamente per lo svolgimento del servizio e-mail
la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore
la lettura e la registrazione dei caratteri inseriti tramite la tastiera