Il regolamento aziendale sull’utilizzo degli strumenti informatici

Come già spiegato in un precedente articolo, uno dei documenti più importanti di cui i datori di lavoro possono dotarsi per prevenire eventuali comportamenti illeciti o scorretti dei dipendenti è il regolamento aziendale sull’utilizzo degli strumenti informatici. Vediamo a grandi linee quali elementi dovrebbe prevedere. 

Le regole di comportamento

In primo luogo, l’Azienda dovrebbe adottare tutti gli accorgimenti necessari ad evitare già in via preventiva la commissione di comportamenti scorretti o illeciti da parte del personale, ad esempio limitando le funzionalità degli strumenti informatici a seconda delle necessità aziendali (si pensi banalmente all’adozione di black list per inibire la navigazione su determinati siti internet).

In secondo luogo, l’Azienda dovrebbe: 

  • evidenziare in modo puntuale che gli strumenti informatici (quali PC, notebook, tablet, smartphone, e-mail) sono strumenti di lavoro forniti al solo fine di svolgere l’attività lavorativa. In pratica, è consigliato di vietarne categoricamente l’uso per scopi personali, e specificare le singole azioni vietate nell’uso di questi strumenti.
  • spiegare al lavoratore come utilizzare gli strumenti aziendali, ossia quali comportamenti sono obbligatori (ad esempio, l’obbligo di proteggere i dispositivi e le indicazioni per farlo, le modalità di archiviazione dei documenti ecc..) e quali invece sono vietati (ad esempio, la manomissione dei dispositivi, la navigazione su siti internet non sicuri, l’utilizzo di supporti removibili senza avere adottato determinate misure di sicurezza ecc..).
  • vietare l’utilizzo della posta elettronica nominativa (es. nome.cognome@azienda.it), per fini personali e rendere note al lavoratore le ipotesi e le modalità con cui l’Azienda potrà legittimamente accedere alle comunicazioni aziendali e, eventualmente, salvarle sui propri sistemi.
  • spiegare al lavoratore che nei casi di assenza (programmata o non) oltre un determinato periodo di tempo, l’Azienda adotta una procedura d’emergenza  per l’accesso alla postazione di lavoro o sua casella di posta elettronica, affinché sia garantita la continuità lavorativa.
  • informare il lavoratore in modo chiaro sulla procedura di gestione degli strumenti lavorativi e della posta elettronica aziendale al momento della cessazione del rapporto di lavoro.
  • specificare, ove applicabile, la gestione e la registrazione da parte dell’Azienda dei file di log relativi all’utilizzo di strumenti e che essi, in determinati casi, possono essere oggetto di controllo.

Le modalità di svolgimento dei controlli

Al lavoratore dovrà essere spiegato se ed in quale misura il datore di lavoro si riserva di effettuare controlli sulle modalità di utilizzo degli strumenti aziendali, anche saltuari o occasionali, indicando le specifiche ragioni che legittimano tali controlli (anche per verifiche sulla funzionalità e sicurezza del sistema) e le relative modalità.

Ricordiamo che i controlli dovranno seguire il principio di gradualità: ad un preventivo controllo generale, basato su dati aggregati o anonimi – che potrà concludersi con avvisi generalizzati diretti agli incaricati dell’area o del settore in cui è stata rilevata l’anomalia – potrà seguire un controllo più specifico, anche su base individuale, giustificato da ulteriori anomalie. Il datore dovrà comunicare al lavoratore l’intenzione di procedere a controlli individuali, specificando l’oggetto, i motivi e le modalità del controllo.

I controlli si considerano leciti se rispettosi del principio di pertinenza e non eccedenza, quindi dovranno essere limitati nel tempo e strettamente connessi alla finalità perseguita.

Il lavoratore deve infine essere informato in modo preciso sulle conseguenze, anche di tipo disciplinare, che il datore di lavoro si riserva di trarre qualora constati che gli strumenti elettronici e la posta elettronica siano utilizzati in modo indebito o scorretto.


Esiste un regolamento che vada bene per tutti?

La risposta non può che essere negativa. Ogni Azienda dovrà necessariamente predisporre un documento contenente gli elementi “obbligatori” previsti dalla normativa, ma sicuramente adattato alle proprie esigenze operative e calibrato sul livello di rischio connesso ai trattamenti di dati personali svolti in azienda, nel rispetto del GDPR.

Facebook
Twitter
LinkedIn
WhatsApp
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale stragiudiziale nel settore sanitario pubblico e privato nell’ambito della protezione dei dati personali – con

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?