Workshop 1 - Sicurezza informatica e diritti del lavoratore: tutele e compliance normativa

Il workshop n. 1, che vede quali discussant Marco Saverio Spolidoro, Alessandra Fanizzi, Giampaolo Furlan, Francesco Paolo Micozzi e Paolo Dal Checco, coordinati da Renato Scorcelli, è dedicato a "Sicurezza informatica e diritti del lavoratore: tutele e compliance normativa ".

In un momento storico nel quale la digitalizzazione pervade tutti gli aspetti della nostra vita - e quindi inevitabilmente anche quelli connessi al rapporto di lavoro - la sicurezza informatica in azienda non è più un'opzione ma un vero e proprio obbligo per l'imprenditore, il cui adempimento deve, tuttavia, conciliarsi con la tutela di diritti fondamentali dei lavoratori, in molti casi, di rilevanza costituzionale.

Il bilanciamento di tali interessi e diritti rappresenta l'aspetto più delicato con il quale deve confrontarsi non solo il legislatore ma anche e soprattutto la giurisprudenza che, come di sovente accade, è sollecitata ad adeguare l'interpretazione di norme di legge inevitabilmente statiche a scenari caratterizzati da rapidi mutamenti tecnologi.

Il datore di lavoro è, quindi, chiamato ad un approccio che contemperi l'esigenza di protezione di dati e segreti aziendali - che in molti casi costituiscono beni di grande rilevanza economica - con il rispetto della privacy dei singoli lavoratori e la tutela della loro dignità e libertà individuale (nonché del diritto di difesa sancito dall'art. 24 Cost.) così da garantire un ambiente di lavoro non solo sicuro ma anche rispettoso delle libertà fondamentali dei lavoratori.

Tutto ciò tenendo conto di un quadro normativo nazionale ed europeo di indubbia complessità.

Basti citare:

- il Regolamento (UE) 2016/679 sulla protezione dei dati (il GDPR - General Data Protection Regulation), caratterizzato da stringenti prescrizioni in materia di sicurezza dei dati personali quali l'obbligo di trattare gli stessi in modo lecito, equo e trasparente nonché dalla previsione (i) di specifiche finalità per cui i dati personali possono essere trattati, (ii) di un consenso esplicito per il trattamento (iii) del principio di limitazione della conservazione, (iv) di diritti degli interessati (di accesso, rettifica, cancellazione), etc.;

 - la Direttiva UE 2022/2555, nota come NIS2, volta a rafforzare la cyber security attraverso l'ampliamento del numero di settori soggetti agli obblighi di sicurezza, la previsione di un approccio strutturato ed integrato alla gestione dei rischi da realizzarsi con la condivisione delle informazioni, la vigilanza e l'applicazione delle misure di cyber security;

- il Dlgs. 138/2024, di attuazione della Direttiva NIS2;

- la Legge 28 giugno 2024, n. 90, che si propone di rafforzare la cyber security nazionale e di prevenire i reati informatici, dettando tutta una serie di prescrizioni (obbligo di segnalazione e notifica degli incidenti, la tempestiva adozione degli interventi risolutivi segnalati dall'Agenzia per la cyber security, etc.) per le pubbliche amministrazioni e le rispettive società in house che forniscono servizi informatici e altri servizi individuati dalla legge, inasprendo le pene per taluni reati informatici;

- le norme del Codice della Proprietà Industriale del 2005 che individuano (art. 98 c.p.i.) e tutelano (art. 99 c.p.i.) i segreti commerciali, apprestando una forma di tutela giurisdizionale particolarmente efficace costituita dal procedimento di descrizione e sequestro (art. 129 c.p.i.);

- le norme del codice penale che puniscono l'accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.), la detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all'accesso a sistemi informatici o telematici (art. 615 quater c.p.); la detenzione, diffusione e installazione abusiva di apparecchiature e mezzi atti a intercettare, impedire o interrompere comunicazioni (art. 617-bis c.p.); l'intercettazione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.); l'estorsione informatica (art. 629 c.p.) e la rivelazione di segreti scientifici o industriali (art. 623 c.p.).

Parallelamente, l'attuale contesto normativo riconosce e tutela alcuni diritti fondamentali del lavoratore:

- vietando il controllo a distanza dell'attività lavorativa tout court e consentendo l'impiego di impianti e strumenti dai quali derivi anche la possibilità di un simile controllo esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, previo accordo sindacale o autorizzazione amministrativa, eccezion fatta per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e per quelli di registrazione degli accessi e delle presenze (art 4 S.L.), fermo restando per entrambi l'utilizzabilità delle informazioni così raccolte per finalità connesse al rapporto di lavoro di cui sia stata data adeguata informazione al lavoratore, nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196, delle modalità d'uso degli strumenti e di effettuazione dei controlli;

- vietando al datore di lavoro di effettuare, con ogni mezzo, indagini sulle opinioni politiche, religiose o sindacali del lavoratore nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore;

- garantendo, in ogni sede, il diritto di difesa del lavoratore, in applicazione dell'art. 24 Cost.

Siamo quindi di fronte ad un sistema complesso che impone al datore di lavoro di porre in essere adeguate misure organizzative di gestione e protezione dei dati nonché di adottare procedure finalizzate a prevenire violazioni e conseguenti responsabilità informando, in primis, – mediante appositi regolamenti aziendali - i lavoratori sulle corrette modalità di utilizzazione degli strumenti informatici a loro disposizione e sull'eventualità di controlli.

Partendo da due casi concreti, nel workshop saranno trattate interessanti questioni applicative che possono sorgere dall'individuazione di un punto di equilibrio tra la necessità di assicurare la sicurezza informatica (anche al fine della protezione di rilevanti interessi imprenditoriali) e l'esigenza di tutela dei diritti dei lavoratori.

La disamina riguarderà non solo le tematiche più strettamente giuslavoristiche (riguardanti gli adempimenti a carico del datore di lavoro e gli obblighi dei lavoratori) e di diritto industriale connesse alla tutela dei segreti aziendali ed alle azioni giudiziarie esperibili sotto il profilo della concorrenza sleale ed ai fini della raccolta della prova, ma anche le eventuali responsabilità penali, tenendo conto delle scriminanti che possono legittimare certi comportamenti dei lavoratori.

Saranno infine trattati tutti gli aspetti di carattere più strettamente tecnico riguardanti le azioni da intraprendere per ottenere, conservare e preservare le evidenze digitali degli illeciti mediante l'acquisizione forense dei dispositivi coinvolti.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Lavoro approfittane subito, prova 1 mese da € 4,90!Scopri di più