Mondo Web e tutela della proprietà
intellettuale: senza rete nella rete?
Gabriele Faggioli
MIP – Politecnico di Milano
I controlli sull’utilizzo delle strumentazioni
informatiche e telematiche aziendali
Milano, 18 ottobre 2006
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Scaletta argomenti trattati
• Il mondo IT e il diritto: problemi aperti e prospettive
• Aspetti legali della sicurezza informatica
• Gli obblighi di sicurezza
• Un argomento di attualità: il controllo aziendale sui lavoratori
rispetto al corretto utilizzo delle strumentazioni informatiche
•Giurisprudenza
•Case study: il provvedimento del Garante del 2 febbraio 2006
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
Evoluzione normativa
 Negli ultimi 13 anni si è assistito a una vera e propria rivoluzione nel settore del
diritto delle nuove tecnologie
 L’evoluzione tecnologica ha infatti determinato l’introduzione nel nostro panorama
giuridico di nuovi concetti giuridici, di nuovi beni tutelati, di nuove fattispecie
incriminatrici, di nuove forme contrattuali
 Si pensi in via esemplificativa:
• Alla frode informatica (art. 640 ter c.p.)
• Al domicilio informatico (art. 615 ter c.p.)
• Al software (d.lgs 518/92 – l. 633/41) e alle forme nuove di licenza (open
source)
• Ai virus (art. 615 quinquies c.p.)
• Alla posta elettronica (art. 616 c.p.)
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
Il diritto e i comportamenti delle persone
 Chi:
• Non ha mai scaricato una canzone via internet senza pagare i diritti?
• Ha mai rubato un cd in un negozio?
 Chi:
• Non ha mai installato o usato software senza licenza?
• Ha mai rubato un prodotto software in un negozio?
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
Il diritto e i comportamenti delle persone
 Chi:
• Non ha mai letto un quotidiano on line durante l’orario di lavoro?
• Ha mai letto la gazzetta dello sport in pieno open space?
 Chi:
• Non ha mai inviato una mail personale dall’indirizzo aziendale per organizzare
un aperitivo?
• Ha mai inviato lettere su carta intestata dell’azienda e dall’azienda per
congratularsi con un amico per la nascita di un figlio?
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
I problemi che si pongono affrontando le tematiche giuridiche dell’IT e delle TLC
sono:
 Che la tecnologia si evolve MOLTO più velocemente del diritto
 Che il mercato si evolve MOLTO più velocemente del diritto
 Che le norme giuridiche, soprattutto se di carattere specifico, seppur oggetto di
interpretazione evolutiva, possono essere ampiamente superate dalla fantasia
umana
 Che i danni derivanti da problematiche legate all’IT e alle TLC sono tipicamente
esponenziali rispetto alle tutele anche contrattualistiche sottostanti
 Che i danni derivanti da problematiche legate all’IT e sono tipicamente
difficilmente quantificabili con criteri certi
 Che l’antigiuridicità dei comportamenti non viene avvertita in modo sufficiente
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
I maggiori problemi che deve affrontare il legislatore sono:
 Anticipare l’evoluzione del mercato e della tecnologia (eccezione)
 Seguire regolamentando l’evoluzione del mercato e della tecnologia (regola)
 Scelta comunque da compiere in un contesto internazionale con i vincoli derivanti
dalle normative imposte dalle autorità sovranazionali e dalla necessità di
armonizzare le legislazioni nazionali in un contesto di forte globalizzazione e in un
settore in cui lo spazio non ha una prospettiva di limitazione
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
I maggiori problemi che deve affrontare il legislatore sono:
 Scegliere una strada di forte regolamentazione
 Scegliere una strada di deregolamentazione lasciando al mercato il compito di
fissare le regole del gioco (ovviamente con esclusione del settore penale)
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
I maggiori problemi che deve affrontare la giurisprudenza sono:
 La norma scritta è suscettibile di interpretazione e dunque su casi simili possono
esserci decisioni diametralmente opposte
 Non esistono casi identici
 Non esistono parametri certi
 Ogni qualvolta si decide su un caso si sfrutta il precedente per modificare i
comportamenti al fine di non incorrere in censure
 Esistono precisi limiti a garanzia del cittadino (divieto di interpretazione analogica
in sede penale, principio di legalità, etc…)
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
Alcuni dei problemi che devono affrontare le aziende sono:
 Scarsa conoscenza delle norme applicabili
 Scarsa evoluzione e aggiornamento della conoscenza delle norme applicabili
 Esistenza di “leggende” interne o di (errate) prassi consolidate
 Scarsa attenzione in merito alla portata di alcune previsioni contrattuali
 Paura solo della sanzione penale
 Mancanza di presidio legale su tutto l’iter di un processo
 Carenza di gestione strutturata dei fornitori IT e TLC
 Scarsa percezione del rischio
 Normative inattuali, ferraginose, di difficile comprensione o interpretazione o
comunque assurde o eccessivamente vincolanti
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
Il quadro normativo internazionale:
• il legislatore comunitario ha negli ultimi anni avvertito l’esigenza della creazione
di un quadro giuridico unitario nel settore dell’Information Technology tra i vari
stati membri
• Per questo motivo sono state emanate numerose direttive che hanno interessato
pressoché tutti gli aspetti giuridici del settore IT la maggior parte delle quali
sono state recepite dai vari stati. Si pensi a titolo meramente esemplificativo:
• direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione dei dati;
• direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche
• direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società
dell'informazione, in particolare il commercio elettronico, nel mercato interno
• direttiva 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di
comunicazione elettronica
• direttiva 2002/21/CE che istituisce un quadro normativo comune per le reti ed i
servizi di comunicazione elettronica
• direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita
privata nel settore delle comunicazioni elettroniche
• ecc.
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica
Il quadro normativo nazionale (solo le disposizioni fondamentali):
 D.lgs 518/92 (l. 633/41): la tutela del software
 L. 547/93: i crimini informatici
 (L. 675/96) – d.lgs 196/03: IL Codice della privacy
 Decreto legislativo 1 agosto 2003 n. 259: Il Codice delle comunicazioni
elettroniche
 Decreto legislativo 7 marzo 2005 n. 82: Il Codice dell’Amministrazione digitale
(relativo alle firme elettroniche)
 Decreto legislativo 6 settembre 2005 n. 206: Il codice del consumo
 …….altre……
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Le misure di sicurezza
– Ormai quasi tutte le aziende conservano dati personali nei propri
sistemi informatici (relativi a clienti, fornitori, dipendenti ecc.)
– In tali casi l’adozione di misure di sicurezza a protezione dei sistemi
informatici non è solamente un opportunità, ma un obbligo di legge
accompagnato da sanzioni che in alcuni casi sono di carattere
penale
– La disciplina delle misure di sicurezza a protezione dei dati personali
trattati con sistemi informatici (ma esistono misure anche per i
trattamenti non automatizzati) è attualmente contenuta nel decreto
legislativo 196/2003 (Codice della privacy)
– La distinzione fondamentale prevista dal codice della privacy in tema
di misure di sicurezza è quella come vedremo tra misure idonee e
misure minime
– La mancata adozione delle misure di sicurezza può integrare per
l’azienda e per i soggetti che rivestono funzioni apicali responsabilità
nei confronti dei soggetti a cui i dati personali trattati si riferiscono
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
• Aspetti legali: la tutela dei dati personali e il d.lgs 196/03
- Responsabilità: civile (in capo all’azienda in quanto persona giuridica, che
potrà manlevarsi sul lavoratore se ne sussistono le condizioni)
- D.lgs. 196/03: Art. 15 - Danni cagionati per effetto del trattamento di
dati personali
- Chiunque cagiona danno ad altri per effetto del trattamento di
dati personali è tenuto al risarcimento ai sensi dell'articolo 2050
del codice civile.
– Articolo 2050 codice civile
• Chiunque cagiona danno ad altri nello svolgimento di un’attività
pericolosa, per sua natura o per la natura dei mezzi adoperati, è
tenuto al risarcimento, se non prova di avere adottato tutte le
misure idonee ad evitare il danno.
- Responsabilità: penale (personale)
- Previsioni specifiche nel testo unico
- Responsabilità: Amministrativa
- Previsioni specifiche nel testo unico
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Controllo sui lavoratori: alcune problematiche connesse all’utilizzo delle
strumentazioni informatiche
- Uso abusivo di internet (pornografia- turismo)
- Uso abusivo di internet (pedofilia)
- Scarico di materiale protetto da diritti d’autore
- Scarico abusivo di materiale
- Uso abusivo del pc
- Contenuti non lavorativi del pc
- Abuso della posta elettronica
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Controllo sui lavoratori: le norme di riferimento
- Art. 114 D.lgs 196/03 (Controllo a distanza):
- Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970,
n.300.
- Art. 4 Legge 300/70 Statuto dei Lavoratori
- E’ vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità
di controllo a distanza dell'attività dei lavoratori.
- Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze
organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali
derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori,
possono essere installati soltanto previo accordo con le rappresentanze
sindacali aziendali.
-
L’articolo 2104 c.c.
L’articolo 2105 c.c
L’articolo 616 c.p.
Il T.U. in materia di privacy
Le policy aziendali
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Controllo sui lavoratori: i c.d. “controlli difensivi”:
- Con l’esplosione della tecnologia informatica hanno assunto particolare
rilievo i “controlli difensivi”, cioè quei controlli tesi alla protezione di
beni costituzionalmente garantiti (proprietà e salute)
- Il problema è che spesso, le apparecchiature tese al controllo dei beni
indirettamente permettono altresì il controllo della prestazione
lavorativa
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Controllo sui lavoratori: indicazioni del Gruppo di lavoro delle Comunità Europee:
- Per poter porre in essere controlli sull’utilizzo delle strumentazioni informatiche e
telematiche aziendali effettuato dai lavoratori occorre rispettare i seguenti
principi:
1. Trasparenza verso il lavoratore
2. Necessità del controllo
3. Equità delle metodologie adottate e delle finalità perseguite
4. Proporzionalità fra controllo e esigenze perseguite
5. Sicurezza nel trattamento e mantenimento dei dati
In ogni caso: la prevenzione degli abusi è meglio delle individuazione
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Controllo sui lavoratori: indicazioni del Gruppo di lavoro delle Comunità Europee:
Principio di necessità: il datore di lavoro deve verificare che qualsiasi forma di
controllo risulti assolutamente indispensabile in rapporto allo scopo perseguito.
- il controllo della posta elettronica e dell’uso di internet può ritenersi
necessario unicamente in circostanze eccezionali (es. ricerca di prove
inerenti la commissione di un reato; attività mirate a garantire la sicurezza
del sistema informativo aziendale; continuità dell’attività lavorativa).
- Si possono per esempio raccogliere dati solo per gruppi aggregati e poi al
limite scendere più in profondità
-
- Principio di finalità:
i dati devono essere raccolti solo per uno scopo
determinato, esplicito e legittimo evitando di trattarli successivamente a fini
diversi.
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Controllo sui lavoratori: indicazioni del Gruppo di lavoro delle Comunità Europee:
- Principio di trasparenza: il datore di lavoro dev’essere chiaro e trasparente circa le
sue attività.
- ai dipendenti deve essere fornita una informazione completa circa le
circostanze specifiche atte a giustificare i controlli:
- politica aziendale in tema di e-mail
- motivi e finalità della vigilanza
- particolari provvedimenti presi
- eventuali procedure esistenti
- diritto di accesso ai dati
- Principio di legittimità: i controlli possono essere legittimi solo se:
- rispettano i principi sopra enucleati
- perseguono finalità legittime
- Principio di sicurezza: le informazioni devono essere protette e accessibili solo a chi
ne ha stretto diritto rispettando le prescrizioni di legge.
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale
• Corte di Cassazione n. 4746 del 3 aprile 2002 (uso illecito del telefono
aziendale)
“Ai fini dell’operatività del divieto di apparecchiature per il controllo a distanza dei
lavoratori previsto dall’articolo 4 della l. n. 300 del 1970 (Statuto dei Lavoratori) è
necessario che il controllo riguardi l’attività lavorativa , mentre devono ritenersi
certamente fuori dall’ambito di applicazione della norma i controlli diretti ad
accertare condotte illecite del lavoratore, quali ad esempio i sistemi di controllo
degli accessi ad aree riservate, o, appunto gli apparecchi di rilevazione delle
telefonate ingiustificate”
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale
•Tribunale di Milano – Giudice per le indagini preliminari- Ordinanza del 10 maggio
2002 (1)
Caso
Una dipendente viene licenziata perché mentre era in ferie veniva controllata la sua
casella di posta elettronica protetta da password che conteneva prove inequivocabili della
sua gestione in proprio di progetti in concorrenza con l’impresa datrice di lavoro
La lavoratrice licenziata denunciava il datore di lavoro contestandogli la commissione del
reato di violazione di corrispondenza
Decisione
Il procedimento è stato archiviato in quanto:” le caselle di posta elettronica sono da
ritenersi equiparate ai normali strumenti di lavoro della società e quindi soltanto in uso ai
singoli dipendenti per lo svolgimento dell’attività aziendale ad essi demandata…. Pertanto il
lavoratore che utilizza –per qualunque – fine la casella di posta elettronica aziendale, si
espone al rischio che anche altri lavoratori della medesima azienda – che, unica, deve
considerarsi titolare dell’indirizzo- possano lecitamente entrare nella sua casella e
leggere i messaggi …..
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale
Tribunale di Milano – Giudice per le indagini preliminari- Ordinanza del 10
maggio 2002 (2)
“…tanto meno può ritenersi che leggendo la posta elettronica contenuta sul personal
computer del lavoratore si possa verificare un non consentito controllo sulle attività
di quest’ultimo, atteso che l’uso dell’e-mail costituisce un semplice strumento
aziendale a disposizione dell’utente-lavoratore al solo fine di consentire al medesimo
di svolgere la propria funzione aziendale e che, come tutti gli altri strumenti di
lavoro forniti dal datore di lavoro, rimane nella completa e totale disponibilità del
medesimo senza alcuna limitazione”
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale
• Corte dei Conti Sezione giurisdizionale per la regione Piemonte (1)
Caso
In seguito a ripetuti problemi al sistema informatico causati da virus provenienti da
siti istituzionali il comune di Arona compie ex post un controllo degli accessi effettuati
alla rete da parte dei PC dell’ente (controllo dei file di log) e scopre che un dirigente
aveva utilizzato la rete rimanendo collegato per molte ore a siti non istituzionali. Il
dipendente ha contestato al datore di lavoro la violazione delle norme sulla privacy
obiettando il mancato rispetto del divieto di utilizzare impianti audiovisivi e altre
apparecchiature volte ad effettuare un controllo a distanza dei lavoratori
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale
• Corte dei Conti Sezione giurisdizionale per la regione Piemonte – sentenza
n.1856/2003 (2)
Decisione
“Il Collegio non ravvisa nell’operato del Comune di Arona alcun comportamento invasivo
preordinato al controllo recondito dell’attività del proprio dipendente, ma
semplicemente l’impiego, con verifiche svolte ex post, di un tipo di software in uso a
molte Pubbliche Amministrazioni in grado di registrare i dati inerenti agli accessi degli
utenti collegati alla rete, non solo per finalità di repressione di comportamenti illeciti,
ma anche per esigenze statistiche e di controllo della spesa. Del resto, non risulta che
i controlli siano stati concomitanti all’attività lavorativa dell’odierno convenuto, ma
sono stati disposti soltanto a posteriori, in funzione di significative e ripetute
anomalie rappresentate da incursioni di virus provenienti da siti non istituzionali;
l’utilizzabilità e l’efficacia nel presente giudizio dell’intero materiale probatorio
raccolto, quindi, non può essere, ad avviso di questi Giudici, posta in discussione “
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale
• Corte dei Conti - Sezione Sicilia – sentenza n. 390 del 2 marzo 2005
“Sussiste sia la responsabilità amministrativa per colpa grave, sia il pregiudizio
erariale a seguito dell’indebito sgravio d’imposta operato da una postazione
informatica lasciata incustodita e con la “password” personale assegnata al dipendente
di un ufficio dell’Agenzia delle entrate inserita ed attiva.
Il comportamento di un dipendente dell’Agenzia delle Entrate è connotato da colpa
grave a seguito dell’inosservanza delle disposizioni impartite dal Settore sicurezza
della stessa Agenzia delle Entrate riguardo all’utilizzo del sistema operativo
nell’ipotesi di temporaneo allontanamento dalla postazione di lavoro nella fase di
trattamento di dati sensibili”
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale
• Tribunale Milano, 31 marzo 2004
“Il divieto del controllo a distanza dell'attività dei lavoratori posto dall'art. 4 st. lav.
non si estende ai cosiddetti controlli difensivi, i quali, peraltro, non costituiscono una
categoria a sè esentata, a priori, dall'applicabilità delle previsioni dell'art. 4, ma
semplicemente un modo per definire controlli finalizzati all'accertamento di condotte
illecite del lavoratore che non rientrano nell'ambito di applicazione del divieto perché
non comportano la raccolta anche di notizie relative all'attività lavorativa”
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale
• Giudice di pace Bari, 7 giugno 2005
“La posta elettronica personalizzata inviata ad un giornalista sul computer aziendale
deve ritenersi equiparata alla corrispondenza privata. I membri della redazione
possono accedere alla casella di posta elettronica solo a seguito di autorizzazione del
titolare. Non può considerarsi legittima la mancata adozione da parte dell'editore
delle misure minime atte a garantirne l'inaccessibilità”
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Case study: Provvedimento del Garante del 2 febbraio 2006 (1)
Caso
• un dipendente di un’azienda, senza esservi autorizzato, si è più volte connesso ad
internet da un computer aziendale
• il datore di lavoro dopo aver sottoposto ad esame i dati del computer (senza che
nell’azienda fosse stata adottata una policy sull’utilizzo delle strumentazioni
informatiche che chiarisse anche l’eventualità di detti controlli), ha effettuato una
contestazione disciplinare nei confronti del dipendente contenente tra l’altro l’elenco
dettagliato dei siti dallo stesso visitati (tra i quali alcuni a contenuto religioso,
politico e pornografico)
• il dipendente dopo aver richiesto all’azienda, senza averne riscontro, il blocco e la
cancellazione dei dati personali che lo riguardano relativi agli accessi ai siti internet
visitati, ha presentato un ricorso al garante lamentando un illecito trattamento di
dati personali
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Case study: provvedimento del Garante del 2 febbraio 2006 (2)
Decisione
• “Per ciò che concerne il merito va rilevato che la società, per dimostrare un
comportamento illecito nel quadro del rapporto di lavoro, ha esperito dettagliati
accertamenti in assenza di una previa informativa all'interessato relativa al
trattamento dei dati personali, nonché in difformità dall'art. 11 del Codice nella
parte in cui prevede che i dati siano trattati in modo lecito e secondo correttezza,
nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità
perseguite”.
• “Dalla documentazione in atti si evince che la raccolta da parte del datore di lavoro
dei dati relativi alle navigazioni in Internet è avvenuta mediante accesso al terminale
in uso all'interessato (con copia della cartella relativa a tutte le operazioni poste in
essere su tale computer durante le sessioni di lavoro avviate con la sua password,
come si desume dalla stringa riportata in apice all'elenco dei file prodotti dalla
resistente "c:\copia\Documents and settings\x-y\"), anziché mediante accesso a file
di backup della cui esistenza il personale della società è informato mediante il
"manuale della qualità " accessibile agli stessi sul proprio terminale”.
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Case study: provvedimento del Garante del 2 febbraio 2006 (3)
Decisione
• “A parte la circostanza che l'interessato non era stato, quindi, informato
previamente dell'eventualità di tali controlli e del tipo di trattamento che sarebbe
stato effettuato, va rilevato sotto altro profilo che non risulta che il ricorrente
avesse necessità di accedere ad Internet per svolgere le proprie prestazioni. La
resistente avrebbe potuto quindi dimostrare l'illiceità del suo comportamento in
rapporto al corretto uso degli strumenti affidati sul luogo di lavoro limitandosi a
provare in altro modo l'esistenza di accessi indebiti alla rete e i relativi tempi di
collegamento. La società ha invece operato un trattamento diffuso di numerose
altre informazioni indicative anche degli specifici "contenuti" degli accessi dei
singoli siti web visitati nel corso delle varie navigazioni, operando -in modo peraltro
non trasparente- un trattamento di dati eccedente rispetto alle finalità
perseguite”
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Case study: provvedimento del Garante del 2 febbraio 2006 (4)
Decisione
• “Va infatti tenuto conto che, sebbene i dati personali siano stati raccolti
nell'ambito di controlli informatici volti a verificare l'esistenza di un comportamento
illecito (che hanno condotto a sporgere una querela, ad una contestazione disciplinare
e al licenziamento), le informazioni di natura sensibile possono essere trattate dal
datore di lavoro senza il consenso quando il trattamento necessario per far valere o
difendere un diritto in sede giudiziaria sia "indispensabile" (art. 26, comma 4,
lett. c), del Codice; autorizzazione n. 1/2004 del Garante). Tale indispensabilità,
anche alla luce di quanto precedentemente osservato, non ricorre nel caso di specie”.
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi
Case study: provvedimento del Garante del 2 febbraio 2006 (5)
Decisione
• “Inoltre, riguardando anche dati "idonei a rivelare lo stato di salute e la vita
sessuale", il trattamento era lecito solo per far valere o difendere in giudizio un
diritto di rango pari a quello dell'interessato ovvero consistente in un diritto della
personalità o in un altro diritto o libertà fondamentale e inviolabile. Anche tale
circostanza non ricorre nel caso di specie, nel quale sono stati fatti valere solo diritti
legati allo svolgimento del rapporto di lavoro), della citata autorizzazione”;
• “Alla luce delle considerazioni sopra esposte e considerato l'art. 11, comma 2, del
Codice secondo cui i dati trattati in violazione della disciplina rilevante in materia di
trattamento dei dati personali non possono essere utilizzati, l'Autorità dispone
quindi, ai sensi dell'art. 150, comma 2, del Codice, quale misura a tutela dei diritti
dell'interessato, il divieto per la società resistente di trattare ulteriormente i dati
personali raccolti nei modi contestati con il ricorso”.
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it
Grazie per l’attenzione!
Gabriele Faggioli
MIP – Politecnico di Milano
[email protected]
www.gabrielefaggioli.it
Gabriele Faggioli - [email protected] - www.gabrielefaggioli.it