La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Gabriele Faggioli - - Mondo Web e tutela della proprietà intellettuale: senza rete nella rete? Gabriele.

Presentazioni simili


Presentazione sul tema: "Gabriele Faggioli - - Mondo Web e tutela della proprietà intellettuale: senza rete nella rete? Gabriele."— Transcript della presentazione:

1 Gabriele Faggioli - - Mondo Web e tutela della proprietà intellettuale: senza rete nella rete? Gabriele Faggioli MIP – Politecnico di Milano I controlli sullutilizzo delle strumentazioni informatiche e telematiche aziendali Milano, 18 ottobre 2006

2 Gabriele Faggioli - - Scaletta argomenti trattati Il mondo IT e il diritto: problemi aperti e prospettive Aspetti legali della sicurezza informatica Gli obblighi di sicurezza Un argomento di attualità: il controllo aziendale sui lavoratori rispetto al corretto utilizzo delle strumentazioni informatiche Giurisprudenza Case study: il provvedimento del Garante del 2 febbraio 2006

3 Gabriele Faggioli - - Introduzione al diritto dellinformatica Evoluzione normativa Negli ultimi 13 anni si è assistito a una vera e propria rivoluzione nel settore del diritto delle nuove tecnologie Levoluzione tecnologica ha infatti determinato lintroduzione nel nostro panorama giuridico di nuovi concetti giuridici, di nuovi beni tutelati, di nuove fattispecie incriminatrici, di nuove forme contrattuali Si pensi in via esemplificativa: Alla frode informatica (art. 640 ter c.p.) Al domicilio informatico (art. 615 ter c.p.) Al software (d.lgs 518/92 – l. 633/41) e alle forme nuove di licenza (open source) Ai virus (art. 615 quinquies c.p.) Alla posta elettronica (art. 616 c.p.)

4 Gabriele Faggioli - - Il diritto e i comportamenti delle persone Chi: Non ha mai scaricato una canzone via internet senza pagare i diritti? Ha mai rubato un cd in un negozio? Chi: Non ha mai installato o usato software senza licenza? Ha mai rubato un prodotto software in un negozio? Introduzione al diritto dellinformatica

5 Gabriele Faggioli - - Il diritto e i comportamenti delle persone Chi: Non ha mai letto un quotidiano on line durante lorario di lavoro? Ha mai letto la gazzetta dello sport in pieno open space? Chi: Non ha mai inviato una mail personale dallindirizzo aziendale per organizzare un aperitivo? Ha mai inviato lettere su carta intestata dellazienda e dallazienda per congratularsi con un amico per la nascita di un figlio? Introduzione al diritto dellinformatica

6 Gabriele Faggioli - - I problemi che si pongono affrontando le tematiche giuridiche dellIT e delle TLC sono: Che la tecnologia si evolve MOLTO più velocemente del diritto Che il mercato si evolve MOLTO più velocemente del diritto Che le norme giuridiche, soprattutto se di carattere specifico, seppur oggetto di interpretazione evolutiva, possono essere ampiamente superate dalla fantasia umana Che i danni derivanti da problematiche legate allIT e alle TLC sono tipicamente esponenziali rispetto alle tutele anche contrattualistiche sottostanti Che i danni derivanti da problematiche legate allIT e sono tipicamente difficilmente quantificabili con criteri certi Che lantigiuridicità dei comportamenti non viene avvertita in modo sufficiente Introduzione al diritto dellinformatica

7 Gabriele Faggioli - - I maggiori problemi che deve affrontare il legislatore sono: Anticipare levoluzione del mercato e della tecnologia (eccezione) Seguire regolamentando levoluzione del mercato e della tecnologia (regola) Scelta comunque da compiere in un contesto internazionale con i vincoli derivanti dalle normative imposte dalle autorità sovranazionali e dalla necessità di armonizzare le legislazioni nazionali in un contesto di forte globalizzazione e in un settore in cui lo spazio non ha una prospettiva di limitazione Introduzione al diritto dellinformatica

8 Gabriele Faggioli - - I maggiori problemi che deve affrontare il legislatore sono: Scegliere una strada di forte regolamentazione Scegliere una strada di deregolamentazione lasciando al mercato il compito di fissare le regole del gioco (ovviamente con esclusione del settore penale) Introduzione al diritto dellinformatica

9 Gabriele Faggioli - - I maggiori problemi che deve affrontare la giurisprudenza sono: La norma scritta è suscettibile di interpretazione e dunque su casi simili possono esserci decisioni diametralmente opposte Non esistono casi identici Non esistono parametri certi Ogni qualvolta si decide su un caso si sfrutta il precedente per modificare i comportamenti al fine di non incorrere in censure Esistono precisi limiti a garanzia del cittadino (divieto di interpretazione analogica in sede penale, principio di legalità, etc…) Introduzione al diritto dellinformatica

10 Gabriele Faggioli - - Alcuni dei problemi che devono affrontare le aziende sono: Scarsa conoscenza delle norme applicabili Scarsa evoluzione e aggiornamento della conoscenza delle norme applicabili Esistenza di leggende interne o di (errate) prassi consolidate Scarsa attenzione in merito alla portata di alcune previsioni contrattuali Paura solo della sanzione penale Mancanza di presidio legale su tutto liter di un processo Carenza di gestione strutturata dei fornitori IT e TLC Scarsa percezione del rischio Normative inattuali, ferraginose, di difficile comprensione o interpretazione o comunque assurde o eccessivamente vincolanti Introduzione al diritto dellinformatica

11 Gabriele Faggioli - - Introduzione al diritto dellinformatica Il quadro normativo internazionale: il legislatore comunitario ha negli ultimi anni avvertito lesigenza della creazione di un quadro giuridico unitario nel settore dellInformation Technology tra i vari stati membri Per questo motivo sono state emanate numerose direttive che hanno interessato pressoché tutti gli aspetti giuridici del settore IT la maggior parte delle quali sono state recepite dai vari stati. Si pensi a titolo meramente esemplificativo: direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati; direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno direttiva 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica direttiva 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche ecc.

12 Gabriele Faggioli - - Il quadro normativo nazionale (solo le disposizioni fondamentali): D.lgs 518/92 (l. 633/41): la tutela del software L. 547/93: i crimini informatici (L. 675/96) – d.lgs 196/03: IL Codice della privacy Decreto legislativo 1 agosto 2003 n. 259: Il Codice delle comunicazioni elettroniche Decreto legislativo 7 marzo 2005 n. 82: Il Codice dellAmministrazione digitale (relativo alle firme elettroniche) Decreto legislativo 6 settembre 2005 n. 206: Il codice del consumo …….altre…… Introduzione al diritto dellinformatica

13 Gabriele Faggioli - - Le misure di sicurezza –Ormai quasi tutte le aziende conservano dati personali nei propri sistemi informatici (relativi a clienti, fornitori, dipendenti ecc.) –In tali casi ladozione di misure di sicurezza a protezione dei sistemi informatici non è solamente un opportunità, ma un obbligo di legge accompagnato da sanzioni che in alcuni casi sono di carattere penale –La disciplina delle misure di sicurezza a protezione dei dati personali trattati con sistemi informatici (ma esistono misure anche per i trattamenti non automatizzati) è attualmente contenuta nel decreto legislativo 196/2003 (Codice della privacy) –La distinzione fondamentale prevista dal codice della privacy in tema di misure di sicurezza è quella come vedremo tra misure idonee e misure minime –La mancata adozione delle misure di sicurezza può integrare per lazienda e per i soggetti che rivestono funzioni apicali responsabilità nei confronti dei soggetti a cui i dati personali trattati si riferiscono Aspetti legali della sicurezza dei sistemi informativi

14 Gabriele Faggioli - - Aspetti legali: la tutela dei dati personali e il d.lgs 196/03 -Responsabilità: civile (in capo allazienda in quanto persona giuridica, che potrà manlevarsi sul lavoratore se ne sussistono le condizioni) -D.lgs. 196/03: Art Danni cagionati per effetto del trattamento di dati personali -Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. –Articolo 2050 codice civile Chiunque cagiona danno ad altri nello svolgimento di unattività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno. -Responsabilità: penale (personale) -Previsioni specifiche nel testo unico -Responsabilità: Amministrativa -Previsioni specifiche nel testo unico Aspetti legali della sicurezza dei sistemi informativi

15 Gabriele Faggioli - - Aspetti legali della sicurezza dei sistemi informativi Controllo sui lavoratori: alcune problematiche connesse allutilizzo delle strumentazioni informatiche -Uso abusivo di internet (pornografia- turismo) -Uso abusivo di internet (pedofilia) -Scarico di materiale protetto da diritti dautore -Scarico abusivo di materiale -Uso abusivo del pc -Contenuti non lavorativi del pc -Abuso della posta elettronica

16 Gabriele Faggioli - - Aspetti legali della sicurezza dei sistemi informativi Controllo sui lavoratori: le norme di riferimento - Art. 114 D.lgs 196/03 (Controllo a distanza): -Resta fermo quanto disposto dallarticolo 4 della legge 20 maggio 1970, n Art. 4 Legge 300/70 Statuto dei Lavoratori -E vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. -Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali. -Larticolo 2104 c.c. -Larticolo 2105 c.c -Larticolo 616 c.p. -Il T.U. in materia di privacy -Le policy aziendali

17 Gabriele Faggioli - - Controllo sui lavoratori: i c.d. controlli difensivi: -Con lesplosione della tecnologia informatica hanno assunto particolare rilievo i controlli difensivi, cioè quei controlli tesi alla protezione di beni costituzionalmente garantiti (proprietà e salute) -Il problema è che spesso, le apparecchiature tese al controllo dei beni indirettamente permettono altresì il controllo della prestazione lavorativa Aspetti legali della sicurezza dei sistemi informativi

18 Gabriele Faggioli - - Aspetti legali della sicurezza dei sistemi informativi Controllo sui lavoratori: indicazioni del Gruppo di lavoro delle Comunità Europee: - Per poter porre in essere controlli sullutilizzo delle strumentazioni informatiche e telematiche aziendali effettuato dai lavoratori occorre rispettare i seguenti principi: 1.Trasparenza verso il lavoratore 2.Necessità del controllo 3.Equità delle metodologie adottate e delle finalità perseguite 4.Proporzionalità fra controllo e esigenze perseguite 5.Sicurezza nel trattamento e mantenimento dei dati In ogni caso: la prevenzione degli abusi è meglio delle individuazione

19 Gabriele Faggioli - - Controllo sui lavoratori: indicazioni del Gruppo di lavoro delle Comunità Europee: - Principio di necessità: il datore di lavoro deve verificare che qualsiasi forma di controllo risulti assolutamente indispensabile in rapporto allo scopo perseguito. - il controllo della posta elettronica e delluso di internet può ritenersi necessario unicamente in circostanze eccezionali (es. ricerca di prove inerenti la commissione di un reato; attività mirate a garantire la sicurezza del sistema informativo aziendale; continuità dellattività lavorativa). - Si possono per esempio raccogliere dati solo per gruppi aggregati e poi al limite scendere più in profondità - Principio di finalità: i dati devono essere raccolti solo per uno scopo determinato, esplicito e legittimo evitando di trattarli successivamente a fini diversi. Aspetti legali della sicurezza dei sistemi informativi

20 Gabriele Faggioli - - Controllo sui lavoratori: indicazioni del Gruppo di lavoro delle Comunità Europee: - Principio di trasparenza: il datore di lavoro devessere chiaro e trasparente circa le sue attività. - ai dipendenti deve essere fornita una informazione completa circa le circostanze specifiche atte a giustificare i controlli: - politica aziendale in tema di - motivi e finalità della vigilanza - particolari provvedimenti presi - eventuali procedure esistenti - diritto di accesso ai dati - Principio di legittimità: i controlli possono essere legittimi solo se: - rispettano i principi sopra enucleati - perseguono finalità legittime - Principio di sicurezza: le informazioni devono essere protette e accessibili solo a chi ne ha stretto diritto rispettando le prescrizioni di legge. Aspetti legali della sicurezza dei sistemi informativi

21 Gabriele Faggioli - - Corte di Cassazione n del 3 aprile 2002 (uso illecito del telefono aziendale) Ai fini delloperatività del divieto di apparecchiature per il controllo a distanza dei lavoratori previsto dallarticolo 4 della l. n. 300 del 1970 (Statuto dei Lavoratori) è necessario che il controllo riguardi lattività lavorativa, mentre devono ritenersi certamente fuori dallambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore, quali ad esempio i sistemi di controllo degli accessi ad aree riservate, o, appunto gli apparecchi di rilevazione delle telefonate ingiustificate I controlli sui lavoratori: levoluzione giurisprudenziale

22 Gabriele Faggioli - - Tribunale di Milano – Giudice per le indagini preliminari- Ordinanza del 10 maggio 2002 (1) Caso Una dipendente viene licenziata perché mentre era in ferie veniva controllata la sua casella di posta elettronica protetta da password che conteneva prove inequivocabili della sua gestione in proprio di progetti in concorrenza con limpresa datrice di lavoro La lavoratrice licenziata denunciava il datore di lavoro contestandogli la commissione del reato di violazione di corrispondenza Decisione Il procedimento è stato archiviato in quanto: le caselle di posta elettronica sono da ritenersi equiparate ai normali strumenti di lavoro della società e quindi soltanto in uso ai singoli dipendenti per lo svolgimento dellattività aziendale ad essi demandata…. Pertanto il lavoratore che utilizza –per qualunque – fine la casella di posta elettronica aziendale, si espone al rischio che anche altri lavoratori della medesima azienda – che, unica, deve considerarsi titolare dellindirizzo- possano lecitamente entrare nella sua casella e leggere i messaggi ….. I controlli sui lavoratori: levoluzione giurisprudenziale

23 Gabriele Faggioli - - Tribunale di Milano – Giudice per le indagini preliminari- Ordinanza del 10 maggio 2002 (2) …tanto meno può ritenersi che leggendo la posta elettronica contenuta sul personal computer del lavoratore si possa verificare un non consentito controllo sulle attività di questultimo, atteso che luso dell costituisce un semplice strumento aziendale a disposizione dellutente-lavoratore al solo fine di consentire al medesimo di svolgere la propria funzione aziendale e che, come tutti gli altri strumenti di lavoro forniti dal datore di lavoro, rimane nella completa e totale disponibilità del medesimo senza alcuna limitazione I controlli sui lavoratori: levoluzione giurisprudenziale

24 Gabriele Faggioli - - I controlli sui lavoratori: levoluzione giurisprudenziale Corte dei Conti Sezione giurisdizionale per la regione Piemonte (1) Caso In seguito a ripetuti problemi al sistema informatico causati da virus provenienti da siti istituzionali il comune di Arona compie ex post un controllo degli accessi effettuati alla rete da parte dei PC dellente (controllo dei file di log) e scopre che un dirigente aveva utilizzato la rete rimanendo collegato per molte ore a siti non istituzionali. Il dipendente ha contestato al datore di lavoro la violazione delle norme sulla privacy obiettando il mancato rispetto del divieto di utilizzare impianti audiovisivi e altre apparecchiature volte ad effettuare un controllo a distanza dei lavoratori

25 Gabriele Faggioli - - I controlli sui lavoratori: levoluzione giurisprudenziale Corte dei Conti Sezione giurisdizionale per la regione Piemonte – sentenza n.1856/2003 (2) Decisione Il Collegio non ravvisa nelloperato del Comune di Arona alcun comportamento invasivo preordinato al controllo recondito dellattività del proprio dipendente, ma semplicemente limpiego, con verifiche svolte ex post, di un tipo di software in uso a molte Pubbliche Amministrazioni in grado di registrare i dati inerenti agli accessi degli utenti collegati alla rete, non solo per finalità di repressione di comportamenti illeciti, ma anche per esigenze statistiche e di controllo della spesa. Del resto, non risulta che i controlli siano stati concomitanti allattività lavorativa dellodierno convenuto, ma sono stati disposti soltanto a posteriori, in funzione di significative e ripetute anomalie rappresentate da incursioni di virus provenienti da siti non istituzionali; lutilizzabilità e lefficacia nel presente giudizio dellintero materiale probatorio raccolto, quindi, non può essere, ad avviso di questi Giudici, posta in discussione

26 Gabriele Faggioli - - I controlli sui lavoratori: levoluzione giurisprudenziale Corte dei Conti - Sezione Sicilia – sentenza n. 390 del 2 marzo 2005 Sussiste sia la responsabilità amministrativa per colpa grave, sia il pregiudizio erariale a seguito dellindebito sgravio dimposta operato da una postazione informatica lasciata incustodita e con la password personale assegnata al dipendente di un ufficio dellAgenzia delle entrate inserita ed attiva. Il comportamento di un dipendente dellAgenzia delle Entrate è connotato da colpa grave a seguito dellinosservanza delle disposizioni impartite dal Settore sicurezza della stessa Agenzia delle Entrate riguardo allutilizzo del sistema operativo nellipotesi di temporaneo allontanamento dalla postazione di lavoro nella fase di trattamento di dati sensibili

27 Gabriele Faggioli - - I controlli sui lavoratori: levoluzione giurisprudenziale Tribunale Milano, 31 marzo 2004 Il divieto del controllo a distanza dell'attività dei lavoratori posto dall'art. 4 st. lav. non si estende ai cosiddetti controlli difensivi, i quali, peraltro, non costituiscono una categoria a sè esentata, a priori, dall'applicabilità delle previsioni dell'art. 4, ma semplicemente un modo per definire controlli finalizzati all'accertamento di condotte illecite del lavoratore che non rientrano nell'ambito di applicazione del divieto perché non comportano la raccolta anche di notizie relative all'attività lavorativa

28 Gabriele Faggioli - - I controlli sui lavoratori: levoluzione giurisprudenziale Giudice di pace Bari, 7 giugno 2005 La posta elettronica personalizzata inviata ad un giornalista sul computer aziendale deve ritenersi equiparata alla corrispondenza privata. I membri della redazione possono accedere alla casella di posta elettronica solo a seguito di autorizzazione del titolare. Non può considerarsi legittima la mancata adozione da parte dell'editore delle misure minime atte a garantirne l'inaccessibilità

29 Gabriele Faggioli - - Aspetti legali della sicurezza dei sistemi informativi Case study: Provvedimento del Garante del 2 febbraio 2006 (1) Caso un dipendente di unazienda, senza esservi autorizzato, si è più volte connesso ad internet da un computer aziendale il datore di lavoro dopo aver sottoposto ad esame i dati del computer (senza che nellazienda fosse stata adottata una policy sullutilizzo delle strumentazioni informatiche che chiarisse anche leventualità di detti controlli), ha effettuato una contestazione disciplinare nei confronti del dipendente contenente tra laltro lelenco dettagliato dei siti dallo stesso visitati (tra i quali alcuni a contenuto religioso, politico e pornografico) il dipendente dopo aver richiesto allazienda, senza averne riscontro, il blocco e la cancellazione dei dati personali che lo riguardano relativi agli accessi ai siti internet visitati, ha presentato un ricorso al garante lamentando un illecito trattamento di dati personali

30 Gabriele Faggioli - - Aspetti legali della sicurezza dei sistemi informativi Case study: provvedimento del Garante del 2 febbraio 2006 (2) Decisione Per ciò che concerne il merito va rilevato che la società, per dimostrare un comportamento illecito nel quadro del rapporto di lavoro, ha esperito dettagliati accertamenti in assenza di una previa informativa all'interessato relativa al trattamento dei dati personali, nonché in difformità dall'art. 11 del Codice nella parte in cui prevede che i dati siano trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite. Dalla documentazione in atti si evince che la raccolta da parte del datore di lavoro dei dati relativi alle navigazioni in Internet è avvenuta mediante accesso al terminale in uso all'interessato (con copia della cartella relativa a tutte le operazioni poste in essere su tale computer durante le sessioni di lavoro avviate con la sua password, come si desume dalla stringa riportata in apice all'elenco dei file prodotti dalla resistente "c:\copia\Documents and settings\x-y\"), anziché mediante accesso a file di backup della cui esistenza il personale della società è informato mediante il "manuale della qualità " accessibile agli stessi sul proprio terminale.

31 Gabriele Faggioli - - Aspetti legali della sicurezza dei sistemi informativi Case study: provvedimento del Garante del 2 febbraio 2006 (3) Decisione A parte la circostanza che l'interessato non era stato, quindi, informato previamente dell'eventualità di tali controlli e del tipo di trattamento che sarebbe stato effettuato, va rilevato sotto altro profilo che non risulta che il ricorrente avesse necessità di accedere ad Internet per svolgere le proprie prestazioni. La resistente avrebbe potuto quindi dimostrare l'illiceità del suo comportamento in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro limitandosi a provare in altro modo l'esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. La società ha invece operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici "contenuti" degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando -in modo peraltro non trasparente- un trattamento di dati eccedente rispetto alle finalità perseguite

32 Gabriele Faggioli - - Aspetti legali della sicurezza dei sistemi informativi Case study: provvedimento del Garante del 2 febbraio 2006 (4) Decisione Va infatti tenuto conto che, sebbene i dati personali siano stati raccolti nell'ambito di controlli informatici volti a verificare l'esistenza di un comportamento illecito (che hanno condotto a sporgere una querela, ad una contestazione disciplinare e al licenziamento), le informazioni di natura sensibile possono essere trattate dal datore di lavoro senza il consenso quando il trattamento necessario per far valere o difendere un diritto in sede giudiziaria sia "indispensabile" (art. 26, comma 4, lett. c), del Codice; autorizzazione n. 1/2004 del Garante). Tale indispensabilità, anche alla luce di quanto precedentemente osservato, non ricorre nel caso di specie.

33 Gabriele Faggioli - - Aspetti legali della sicurezza dei sistemi informativi Case study: provvedimento del Garante del 2 febbraio 2006 (5) Decisione Inoltre, riguardando anche dati "idonei a rivelare lo stato di salute e la vita sessuale", il trattamento era lecito solo per far valere o difendere in giudizio un diritto di rango pari a quello dell'interessato ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. Anche tale circostanza non ricorre nel caso di specie, nel quale sono stati fatti valere solo diritti legati allo svolgimento del rapporto di lavoro), della citata autorizzazione; Alla luce delle considerazioni sopra esposte e considerato l'art. 11, comma 2, del Codice secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, l'Autorità dispone quindi, ai sensi dell'art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell'interessato, il divieto per la società resistente di trattare ulteriormente i dati personali raccolti nei modi contestati con il ricorso.

34 Gabriele Faggioli - - Grazie per lattenzione! Gabriele Faggioli MIP – Politecnico di Milano


Scaricare ppt "Gabriele Faggioli - - Mondo Web e tutela della proprietà intellettuale: senza rete nella rete? Gabriele."

Presentazioni simili


Annunci Google