340 likes | 755 Views
Mondo Web e tutela della proprietà intellettuale: senza rete nella rete?. Gabriele Faggioli MIP – Politecnico di Milano I controlli sull’utilizzo delle strumentazioni informatiche e telematiche aziendali Milano, 18 ottobre 2006. Scaletta argomenti trattati.
E N D
Mondo Web e tutela della proprietà intellettuale: senza rete nella rete? Gabriele Faggioli MIP – Politecnico di Milano I controlli sull’utilizzo delle strumentazioni informatiche e telematiche aziendali Milano, 18 ottobre 2006 Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Scaletta argomenti trattati • Il mondo IT e il diritto: problemi aperti e prospettive • Aspetti legali della sicurezza informatica • Gli obblighi di sicurezza • Un argomento di attualità: il controllo aziendale sui lavoratori rispetto al corretto utilizzo delle strumentazioni informatiche • Giurisprudenza • Case study: il provvedimento del Garante del 2 febbraio 2006 Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica Evoluzione normativa • Negli ultimi 13 anni si è assistito a una vera e propria rivoluzione nel settore del diritto delle nuove tecnologie • L’evoluzione tecnologica ha infatti determinato l’introduzione nel nostro panorama giuridico di nuovi concetti giuridici, di nuovi beni tutelati, di nuove fattispecie incriminatrici, di nuove forme contrattuali • Si pensi in via esemplificativa: • Alla frode informatica (art. 640 ter c.p.) • Al domicilio informatico (art. 615 ter c.p.) • Al software (d.lgs 518/92 – l. 633/41) e alle forme nuove di licenza (open source) • Ai virus (art. 615 quinquies c.p.) • Alla posta elettronica (art. 616 c.p.) Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica Il diritto e i comportamenti delle persone • Chi: • Non ha mai scaricato una canzone via internet senza pagare i diritti? • Ha mai rubato un cd in un negozio? • Chi: • Non ha mai installato o usato software senza licenza? • Ha mai rubato un prodotto software in un negozio? Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica Il diritto e i comportamenti delle persone • Chi: • Non ha mai letto un quotidiano on line durante l’orario di lavoro? • Ha mai letto la gazzetta dello sport in pieno open space? • Chi: • Non ha mai inviato una mail personale dall’indirizzo aziendale per organizzare un aperitivo? • Ha mai inviato lettere su carta intestata dell’azienda e dall’azienda per congratularsi con un amico per la nascita di un figlio? Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica I problemi che si pongono affrontando le tematiche giuridiche dell’IT e delle TLC sono: • Che la tecnologia si evolve MOLTO più velocemente del diritto • Che il mercato si evolve MOLTO più velocemente del diritto • Che le norme giuridiche, soprattutto se di carattere specifico, seppur oggetto di interpretazione evolutiva, possono essere ampiamente superate dalla fantasia umana • Che i danni derivanti da problematiche legate all’IT e alle TLC sono tipicamente esponenziali rispetto alle tutele anche contrattualistiche sottostanti • Che i danni derivanti da problematiche legate all’IT e sono tipicamente difficilmente quantificabili con criteri certi • Che l’antigiuridicità dei comportamenti non viene avvertita in modo sufficiente Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica I maggiori problemi che deve affrontare il legislatore sono: • Anticipare l’evoluzione del mercato e della tecnologia (eccezione) • Seguire regolamentando l’evoluzione del mercato e della tecnologia (regola) • Scelta comunque da compiere in un contesto internazionale con i vincoli derivanti dalle normative imposte dalle autorità sovranazionali e dalla necessità di armonizzare le legislazioni nazionali in un contesto di forte globalizzazione e in un settore in cui lo spazio non ha una prospettiva di limitazione Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica I maggiori problemi che deve affrontare il legislatore sono: • Scegliere una strada di forte regolamentazione • Scegliere una strada di deregolamentazione lasciando al mercato il compito di fissare le regole del gioco (ovviamente con esclusione del settore penale) Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica I maggiori problemi che deve affrontare la giurisprudenza sono: • La norma scritta è suscettibile di interpretazione e dunque su casi simili possono esserci decisioni diametralmente opposte • Non esistono casi identici • Non esistono parametri certi • Ogni qualvolta si decide su un caso si sfrutta il precedente per modificare i comportamenti al fine di non incorrere in censure • Esistono precisi limiti a garanzia del cittadino (divieto di interpretazione analogica in sede penale, principio di legalità, etc…) Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica Alcuni dei problemi che devono affrontare le aziende sono: • Scarsa conoscenza delle norme applicabili • Scarsa evoluzione e aggiornamento della conoscenza delle norme applicabili • Esistenza di “leggende” interne o di (errate) prassi consolidate • Scarsa attenzione in merito alla portata di alcune previsioni contrattuali • Paura solo della sanzione penale • Mancanza di presidio legale su tutto l’iter di un processo • Carenza di gestione strutturata dei fornitori IT e TLC • Scarsa percezione del rischio • Normative inattuali, ferraginose, di difficile comprensione o interpretazione o comunque assurde o eccessivamente vincolanti Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica • Il quadro normativo internazionale: • il legislatore comunitario ha negli ultimi anni avvertito l’esigenza della creazione di un quadro giuridico unitario nel settore dell’Information Technology tra i vari stati membri • Per questo motivo sono state emanate numerose direttive che hanno interessato pressoché tutti gli aspetti giuridici del settore IT la maggior parte delle quali sono state recepite dai vari stati. Si pensi a titolo meramente esemplificativo: • direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati; • direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche • direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno • direttiva 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica • direttiva 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica • direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche • ecc. Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Introduzione al diritto dell’informatica Il quadro normativo nazionale (solo le disposizioni fondamentali): • D.lgs 518/92 (l. 633/41): la tutela del software • L. 547/93: i crimini informatici • (L. 675/96) – d.lgs 196/03: IL Codice della privacy • Decreto legislativo 1 agosto 2003 n. 259: Il Codice delle comunicazioni elettroniche • Decreto legislativo 7 marzo 2005 n. 82: Il Codice dell’Amministrazione digitale (relativo alle firme elettroniche) • Decreto legislativo 6 settembre 2005 n. 206: Il codice del consumo • …….altre…… Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi Le misure di sicurezza • Ormai quasi tutte le aziende conservano dati personali nei propri sistemi informatici (relativi a clienti, fornitori, dipendenti ecc.) • In tali casi l’adozione di misure di sicurezza a protezione dei sistemi informatici non è solamente un opportunità, ma un obbligo di legge accompagnato da sanzioni che in alcuni casi sono di carattere penale • La disciplina delle misure di sicurezza a protezione dei dati personali trattati con sistemi informatici (ma esistono misure anche per i trattamenti non automatizzati) è attualmente contenuta nel decreto legislativo 196/2003 (Codice della privacy) • La distinzione fondamentale prevista dal codice della privacy in tema di misure di sicurezza è quella come vedremo tra misure idonee e misure minime • La mancata adozione delle misure di sicurezza può integrare per l’azienda e per i soggetti che rivestono funzioni apicali responsabilità nei confronti dei soggetti a cui i dati personali trattati si riferiscono Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi • Aspetti legali: la tutela dei dati personali e il d.lgs 196/03 • Responsabilità: civile (in capo all’azienda in quanto persona giuridica, che potrà manlevarsi sul lavoratore se ne sussistono le condizioni) • D.lgs. 196/03: Art. 15 - Danni cagionati per effetto del trattamento di dati personali • Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. • Articolo 2050 codice civile • Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno. • Responsabilità: penale (personale) • Previsioni specifiche nel testo unico • Responsabilità: Amministrativa • Previsioni specifiche nel testo unico Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Controllo sui lavoratori: alcune problematiche connesse all’utilizzo delle strumentazioni informatiche Uso abusivo di internet (pornografia- turismo) Uso abusivo di internet (pedofilia) Scarico di materiale protetto da diritti d’autore Scarico abusivo di materiale Uso abusivo del pc Contenuti non lavorativi del pc Abuso della posta elettronica Aspetti legali della sicurezza dei sistemi informativi Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Controllo sui lavoratori: le norme di riferimento - Art. 114 D.lgs 196/03 (Controllo a distanza): Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n.300. - Art. 4 Legge 300/70 Statuto dei Lavoratori E’ vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali. L’articolo 2104 c.c. L’articolo 2105 c.c L’articolo 616 c.p. Il T.U. in materia di privacy Le policy aziendali Aspetti legali della sicurezza dei sistemi informativi Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi Controllo sui lavoratori: i c.d. “controlli difensivi”: • Con l’esplosione della tecnologia informatica hanno assunto particolare rilievo i “controlli difensivi”, cioè quei controlli tesi alla protezione di beni costituzionalmente garantiti (proprietà e salute) • Il problema è che spesso, le apparecchiature tese al controllo dei beni indirettamente permettono altresì il controllo della prestazione lavorativa Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Controllo sui lavoratori: indicazioni del Gruppo di lavoro delle Comunità Europee: - Per poter porre in essere controlli sull’utilizzo delle strumentazioni informatiche e telematiche aziendali effettuato dai lavoratori occorre rispettare i seguenti principi: Trasparenza verso il lavoratore Necessità del controllo Equità delle metodologie adottate e delle finalità perseguite Proporzionalità fra controllo e esigenze perseguite Sicurezza nel trattamento e mantenimento dei dati In ogni caso: la prevenzione degli abusi è meglio delle individuazione Aspetti legali della sicurezza dei sistemi informativi Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi Controllo sui lavoratori: indicazioni del Gruppo di lavoro delle Comunità Europee: - Principio di necessità: il datore di lavoro deve verificare che qualsiasi forma di controllo risulti assolutamente indispensabile in rapporto allo scopo perseguito. - il controllo della posta elettronica e dell’uso di internet può ritenersi necessario unicamente in circostanze eccezionali (es. ricerca di prove inerenti la commissione di un reato; attività mirate a garantire la sicurezza del sistema informativo aziendale; continuità dell’attività lavorativa). - Si possono per esempio raccogliere dati solo per gruppi aggregati e poi al limite scendere più in profondità - Principio di finalità: i dati devono essere raccolti solo per uno scopo determinato, esplicito e legittimo evitando di trattarli successivamente a fini diversi. Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi Controllo sui lavoratori: indicazioni del Gruppo di lavoro delle Comunità Europee: - Principio di trasparenza: il datore di lavoro dev’essere chiaro e trasparente circa le sue attività. - ai dipendenti deve essere fornita una informazione completa circa le circostanze specifiche atte a giustificare i controlli: - politica aziendale in tema di e-mail - motivi e finalità della vigilanza - particolari provvedimenti presi - eventuali procedure esistenti - diritto di accesso ai dati - Principio di legittimità: i controlli possono essere legittimi solo se: - rispettano i principi sopra enucleati - perseguono finalità legittime - Principio di sicurezza: le informazioni devono essere protette e accessibili solo a chi ne ha stretto diritto rispettando le prescrizioni di legge. Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale • Corte di Cassazione n. 4746 del 3 aprile 2002 (uso illecito del telefono aziendale) “Ai fini dell’operatività del divieto di apparecchiature per il controllo a distanza dei lavoratori previsto dall’articolo 4 della l. n. 300 del 1970 (Statuto dei Lavoratori) è necessario che il controllo riguardi l’attività lavorativa , mentre devono ritenersi certamente fuori dall’ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore, quali ad esempio i sistemi di controllo degli accessi ad aree riservate, o, appunto gli apparecchi di rilevazione delle telefonate ingiustificate” Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale • Tribunale di Milano – Giudice per le indagini preliminari- Ordinanza del 10 maggio 2002 (1) Caso Una dipendente viene licenziata perché mentre era in ferie veniva controllata la sua casella di posta elettronica protetta da password che conteneva prove inequivocabili della sua gestione in proprio di progetti in concorrenza con l’impresa datrice di lavoro La lavoratrice licenziata denunciava il datore di lavoro contestandogli la commissione del reato di violazione di corrispondenza Decisione Il procedimento è stato archiviato in quanto:” le caselle di posta elettronica sono da ritenersi equiparate ai normali strumenti di lavoro della società e quindi soltanto in uso ai singoli dipendenti per lo svolgimento dell’attività aziendale ad essi demandata…. Pertanto il lavoratore che utilizza –per qualunque – fine la casella di posta elettronica aziendale, si espone al rischio che anche altri lavoratori della medesima azienda – che, unica, deve considerarsi titolare dell’indirizzo- possano lecitamente entrare nella sua casella e leggere i messaggi ….. Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale Tribunale di Milano – Giudice per le indagini preliminari- Ordinanza del 10 maggio 2002 (2) “…tanto meno può ritenersi che leggendo la posta elettronica contenuta sul personal computer del lavoratore si possa verificare un non consentito controllo sulle attività di quest’ultimo, atteso che l’uso dell’e-mail costituisce un semplice strumento aziendale a disposizione dell’utente-lavoratore al solo fine di consentire al medesimo di svolgere la propria funzione aziendale e che, come tutti gli altri strumenti di lavoro forniti dal datore di lavoro, rimane nella completa e totale disponibilità del medesimo senza alcuna limitazione” Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale • Corte dei Conti Sezione giurisdizionale per la regione Piemonte (1) • Caso • In seguito a ripetuti problemi al sistema informatico causati da virus provenienti da siti istituzionali il comune di Arona compie ex post un controllo degli accessi effettuati alla rete da parte dei PC dell’ente (controllo dei file di log) e scopre che un dirigente aveva utilizzato la rete rimanendo collegato per molte ore a siti non istituzionali. Il dipendente ha contestato al datore di lavoro la violazione delle norme sulla privacy obiettando il mancato rispetto del divieto di utilizzare impianti audiovisivi e altre apparecchiature volte ad effettuare un controllo a distanza dei lavoratori Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale • Corte dei Conti Sezione giurisdizionale per la regione Piemonte – sentenza n.1856/2003 (2) • Decisione • “Il Collegio non ravvisa nell’operato del Comune di Arona alcun comportamento invasivo preordinato al controllo recondito dell’attività del proprio dipendente, ma semplicemente l’impiego, con verifiche svolte ex post, di un tipo di software in uso a molte Pubbliche Amministrazioni in grado di registrare i dati inerenti agli accessi degli utenti collegati alla rete, non solo per finalità di repressione di comportamenti illeciti, ma anche per esigenze statistiche e di controllo della spesa. Del resto, non risulta che i controlli siano stati concomitanti all’attività lavorativa dell’odierno convenuto, ma sono stati disposti soltanto a posteriori, in funzione di significative e ripetute anomalie rappresentate da incursioni di virus provenienti da siti non istituzionali; l’utilizzabilità e l’efficacia nel presente giudizio dell’intero materiale probatorio raccolto, quindi, non può essere, ad avviso di questi Giudici, posta in discussione “ Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale • Corte dei Conti - Sezione Sicilia – sentenza n. 390 del 2 marzo 2005 • “Sussiste sia la responsabilità amministrativa per colpa grave, sia il pregiudizio erariale a seguito dell’indebito sgravio d’imposta operato da una postazione informatica lasciata incustodita e con la “password” personale assegnata al dipendente di un ufficio dell’Agenzia delle entrate inserita ed attiva. • Il comportamento di un dipendente dell’Agenzia delle Entrate è connotato da colpa grave a seguito dell’inosservanza delle disposizioni impartite dal Settore sicurezza della stessa Agenzia delle Entrate riguardo all’utilizzo del sistema operativo nell’ipotesi di temporaneo allontanamento dalla postazione di lavoro nella fase di trattamento di dati sensibili” Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale • Tribunale Milano, 31 marzo 2004 • “Il divieto del controllo a distanza dell'attività dei lavoratori posto dall'art. 4 st. lav. non si estende ai cosiddetti controlli difensivi, i quali, peraltro, non costituiscono una categoria a sè esentata, a priori, dall'applicabilità delle previsioni dell'art. 4, ma semplicemente un modo per definire controlli finalizzati all'accertamento di condotte illecite del lavoratore che non rientrano nell'ambito di applicazione del divieto perché non comportano la raccolta anche di notizie relative all'attività lavorativa” Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
I controlli sui lavoratori: l’evoluzione giurisprudenziale • Giudice di pace Bari, 7 giugno 2005 • “La posta elettronica personalizzata inviata ad un giornalista sul computer aziendale deve ritenersi equiparata alla corrispondenza privata. I membri della redazione possono accedere alla casella di posta elettronica solo a seguito di autorizzazione del titolare. Non può considerarsi legittima la mancata adozione da parte dell'editore delle misure minime atte a garantirne l'inaccessibilità” Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi • Case study: Provvedimento del Garante del 2 febbraio 2006 (1) • Caso • un dipendente di un’azienda, senza esservi autorizzato, si è più volte connesso ad internet da un computer aziendale • il datore di lavoro dopo aver sottoposto ad esame i dati del computer (senza che nell’azienda fosse stata adottata una policy sull’utilizzo delle strumentazioni informatiche che chiarisse anche l’eventualità di detti controlli), ha effettuato una contestazione disciplinare nei confronti del dipendente contenente tra l’altro l’elenco dettagliato dei siti dallo stesso visitati (tra i quali alcuni a contenuto religioso, politico e pornografico) • il dipendente dopo aver richiesto all’azienda, senza averne riscontro, il blocco e la cancellazione dei dati personali che lo riguardano relativi agli accessi ai siti internet visitati, ha presentato un ricorso al garante lamentando un illecito trattamento di dati personali Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi • Case study: provvedimento del Garante del 2 febbraio 2006 (2) • Decisione • “Per ciò che concerne il merito va rilevato che la società, per dimostrare un comportamento illecito nel quadro del rapporto di lavoro, ha esperito dettagliati accertamenti in assenza di una previa informativa all'interessato relativa al trattamento dei dati personali, nonché in difformità dall'art. 11 del Codice nella parte in cui prevede che i dati siano trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite”. • “Dalla documentazione in atti si evince che la raccolta da parte del datore di lavoro dei dati relativi alle navigazioni in Internet è avvenuta mediante accesso al terminale in uso all'interessato (con copia della cartella relativa a tutte le operazioni poste in essere su tale computer durante le sessioni di lavoro avviate con la sua password, come si desume dalla stringa riportata in apice all'elenco dei file prodotti dalla resistente "c:\copia\Documents and settings\x-y\"), anziché mediante accesso a file di backup della cui esistenza il personale della società è informato mediante il "manuale della qualità " accessibile agli stessi sul proprio terminale”. Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi • Case study: provvedimento del Garante del 2 febbraio 2006 (3) • Decisione • “A parte la circostanza che l'interessato non era stato, quindi, informato previamente dell'eventualità di tali controlli e del tipo di trattamento che sarebbe stato effettuato, va rilevato sotto altro profilo che non risulta che il ricorrente avesse necessità di accedere ad Internet per svolgere le proprie prestazioni. La resistente avrebbe potuto quindi dimostrare l'illiceità del suo comportamento in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro limitandosi a provare in altro modo l'esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. La società ha invece operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici "contenuti" degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando -in modo peraltro non trasparente- un trattamento di dati eccedente rispetto alle finalità perseguite” Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi • Case study: provvedimento del Garante del 2 febbraio 2006 (4) • Decisione • “Va infatti tenuto conto che, sebbene i dati personali siano stati raccolti nell'ambito di controlli informatici volti a verificare l'esistenza di un comportamento illecito (che hanno condotto a sporgere una querela, ad una contestazione disciplinare e al licenziamento), le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia "indispensabile" (art. 26, comma 4, lett. c), del Codice; autorizzazione n. 1/2004 del Garante). Tale indispensabilità, anche alla luce di quanto precedentemente osservato, non ricorre nel caso di specie”. Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Aspetti legali della sicurezza dei sistemi informativi • Case study: provvedimento del Garante del 2 febbraio 2006 (5) • Decisione • “Inoltre, riguardando anche dati "idonei a rivelare lo stato di salute e la vita sessuale", il trattamento era lecito solo per far valere o difendere in giudizio un diritto di rango pari a quello dell'interessato ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. Anche tale circostanza non ricorre nel caso di specie, nel quale sono stati fatti valere solo diritti legati allo svolgimento del rapporto di lavoro), della citata autorizzazione”; • “Alla luce delle considerazioni sopra esposte e considerato l'art. 11, comma 2, del Codice secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, l'Autorità dispone quindi, ai sensi dell'art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell'interessato, il divieto per la società resistente di trattare ulteriormente i dati personali raccolti nei modi contestati con il ricorso”. Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it
Grazie per l’attenzione! Gabriele Faggioli MIP – Politecnico di Milano gf@gabrielefaggioli.it www.gabrielefaggioli.it Gabriele Faggioli - gf@gabrielefaggioli.it - www.gabrielefaggioli.it