Premessa
Il datore può controllare l’uso degli strumenti tecnologici aziendali (computer, rete, e-mail, smartphone, app, badge, ecc.) solo se il controllo è:
- legato a esigenze organizzative, produttive o di sicurezza;
- trasparente (i lavoratori devono essere informati prima, in modo chiaro);
- proporzionato e minimizzato (si raccolgono solo i dati necessari, per il tempo necessario).
Dati raccolti senza informativa o policy adeguata non sono utilizzabili a fini disciplinari.
Cosa rientra nei controlli ammessi
Strumenti di lavoro
Sono i dispositivi messi a disposizione per svolgere l’attività (PC, smartphone, SIM, e-mail aziendale, VPN, software, badge, videosorveglianza in aree sensibili, sistemi di telemetria dei mezzi, ecc.).
Il controllo è ammesso se:
- serve a far funzionare l’organizzazione (sicurezza informatica, continuità operativa, protezione del patrimonio);
- è descritto nella policy (chi controlla, cosa, come, per quanto tempo);
- rispetta proporzionalità (prima i log tecnici, poi — solo se necessario — approfondimenti mirati).
PC, internet ed e-mail
Consentito:
- monitorare log tecnici (accessi, orari, volumi di traffico, malware, siti bloccati),
- applicare filtri e blocchi di sicurezza,
- analisi statistiche aggregate sull’uso della rete.
Non consentito di regola:
- leggere sistematicamente contenuti di e-mail o messaggi privati,
- fare profilazione capillare o sorveglianza continua del singolo.
Eventuali verifiche di contenuto devono essere eccezionali, mirate e documentate, dopo aver informato in policy che ciò può avvenire in casi specifici (es. incidenti di sicurezza, sospetti illeciti).
Smartphone aziendale
Ammesso:
- verificare consumi, traffico dati e installazioni non autorizzate,
- geolocalizzazione solo se necessaria (es. flotta, sicurezza), con fasce orarie e spegnimento fuori servizio.
Vietato:
- accedere a chat e contenuti personali, registrare audio o schermo senza base chiara e informata.
Social network
- Lecito visionare contenuti pubblici se servono a tutelare immagine o patrimonio (diffamazioni, divulgazione di segreti).
- Vietata la sorveglianza occulta (es. profili falsi per spiare), scraping massivo o monitoraggi invasivi non dichiarati.
- I profili aziendali possono essere monitorati per sicurezza e governance dell’account secondo policy.
Cosa non è ammesso (in sintesi)
- Keylogger, registrazioni occulte, cattura sistematica di screenshot.
- Controlli generalizzati e non necessari (principio di minimizzazione).
- Uso disciplinare di dati raccolti senza informare prima i dipendenti.
- Conservazioni indefinite dei log (serve una scadenza chiara e commisurata allo scopo).
Policy aziendale: cosa deve contenere (checklist)
- Scopo dei controlli (organizzazione, sicurezza, tutela beni).
- Ambito: strumenti e canali interessati (PC, rete, e-mail, telefoni, app, badge, mezzi, CCTV).
- Cosa si controlla: log, volumi, anomalie; quando e come si può verificare il contenuto.
- Ruoli e accessi: chi vede i dati, con quali permessi, tracciando ogni accesso.
- Tempi di conservazione: per ciascun dato (es. log 6–12 mesi, incident response più a lungo se serve).
- Diritti dei dipendenti: informativa chiara, punto contatto, come esercitarli.
- Sanzioni disciplinari: scala proporzionata e collegata alle violazioni.
- Uso personale: se ammesso, in che misura e in quali orari/aree (es. cartella “Personale”).
- Geolocalizzazione: finalità, fasce orarie, esclusioni fuori servizio.
- Gestione incidenti: quando si passa da log tecnici a controlli mirati sul contenuto.
Suggerimento operativo: far firmare la policy e pubblicarla su intranet; prevedere formazione breve annuale.
Tutele per i lavoratori
- Diritto a informazione chiara prima dell’avvio dei controlli.
- Diritto a riservatezza su contenuti personali e canali privati.
- Diritto a proporzionalità del controllo e a tempi di conservazione non eccessivi.
- Diritto di accesso/copia dei propri dati e di segnalare abusi tramite canali dedicati.
Domande rapide (FAQ)
Il datore può vedere cosa scrivo nelle e-mail?
Può analizzare log e metadati per sicurezza; l’accesso ai contenuti è eccezionale, giustificato e tracciato, e va previsto in policy.
Può controllare i siti che visito?
Sì, a livello di log e filtri per sicurezza/organizzazione, se indicato in policy. La navigazione privata personale va regolata (ammessa/limitata/vietata).
Il telefono aziendale è tracciabile?
La geolocalizzazione è lecita solo se necessaria e nella finestra lavorativa; va dichiarata in policy con spegnimento fuori orario.
I miei social privati possono essere monitorati?
Solo contenuti pubblici e per tutela aziendale. Vietata la sorveglianza occulta o tramite profili falsi.
Caso pratico
Un’azienda nota picchi di traffico verso piattaforme social in orario di lavoro. La policy prevede filtri, logging e controlli mirati in caso di anomalie.
- Il reparto IT segnala l’anomalia (dato tecnico).
- L’HR avvia un controllo mirato su log del dipendente coinvolto, senza aprire contenuti privati.
- Dalla verifica emerge uso massivo non autorizzato in orario continuativo.
- HR convoca il dipendente, condivide i dati di log e applica una sanzione proporzionata prevista in policy.
Se mancasse la policy o l’informativa, i log non sarebbero utilizzabili a fini disciplinari.
Mini-procedura per essere in regola (per le aziende)
- Mappa degli strumenti e dei flussi dati (chi vede cosa).
- Policy aggiornata, firmata, pubblicata; formazione.
- Configurazione tecnica: log solo necessari, ruoli, tracciamento accessi, retention per tipo di dato.
- Canale per richieste/diritti dei dipendenti e registro delle verifiche.
- Revisione annuale (IT + HR) di policy, misure, tempi di conservazione.
Comments are closed