Lavoro in un'azienda che fa networking, nella periferia del buco del culo del
mondo.

Qualche giorno fa il mio capo mi ha commissionato un server.
Questo server dovrebbe sostituirne un altro, che gia' lavora, e dovrebbe fare
da:

- gateway (permettere a molti computer di una rete di unscire in rete   attraverso
una solo connessione internet);

- firewall;

- posta;

- proxy web.

Il "proxy web" e' un software che, tra le altre cose, permette di mantenere
in memoria le pagine internet visitate dai computer della rete, cosi' da poterle
dare nel momento venissero' richieste le medesime pagine.
In questo modo si risparmia "banda" e si velocizzano le connessioni.

Tutto bello e giusto, quindi.

Non fosse che il mio capo mi ha anche chiesto di "tenere traccia" di tutte
le singole richieste dai singoli computer e, se possibile, mettere in una pagina
web privata i risultati.

Echeccazzo.

Al momento della richiesta la cosa mi e' piaciuta assai poco, e dopo un breve
indagare ho scoperto che:

- la cosa e' illegale, come vedrete sotto;
- l'altra macchina lo sta gia' facendo;
- e' una procedura comune in tutte le aziende della zona, tanto che al mio
rifiuto si sono a) incazzati b) stupiti.

Al mio capo ho mandato la seguente mail:

==========================================================================
Egregio XXX, mentre lavoravo per mettere su il server, mi sono venuti
dei dubbi, che vado ad esporti.

I log di Squid, il proxy web che ho configurato sul server, violano
gravemente alcune leggi sulla privacy, permettendo di controllare il
comportamento e le preferenze dei dipendenti della ditta per cui
lavorano.

Infatti in

http://www.unonet.it/articoli/diritto/

puoi leggere:

Utilizzo di Internet

L'informatizzazione delle aziende ha portato la maggior parte dei
lavoratori subordinati ad operare con gli strumenti tipici
dell'informatica.
Lo sviluppo delle reti ha fatto sì che quasi ogni personal computer sul
luogo di lavoro abbia la possibilità di connettersi con altri
elaboratori.
All'inizio c'erano le reti locali LAN (Local Area Network) chiamate
successivamente, grazie alla diffusione del protocollo TCP/IP, Intranet;
poi si è passati a collegare sistemi interni con l'esterno per
realizzare le Extranet e, contemporaneamente, diventava parte integrante
del sistema informatico aziendale il collegamento alla "Big Internet".

L'attività su Internet svolta da un dipendente può costituire un utile
strumento di lavoro, consentendo di accedere, in maniera semplice ed
istantanea, ad una quantità illimitata di informazioni.
Ma all'interno di quest'ultima è inevitabile che ne esistano anche
moltissime che con l'attività lavorativa non hanno nulla a che fare.
Ecco che la ricerca di informazioni extra lavorative può integrare una
condotta scorretta da parte del lavoratore subordinato.
Passare ore davanti al computer, durante l'orario di lavoro, al fine di
visitare siti aventi contenuto estraneo alle proprie mansioni,
sicuramente costituisce un inadempimento contrattuale nei confronti del
datore di lavoro.

Per prevenire e contrastare comportamenti di questo genere il datore di
lavoro ha pochi strumenti e molti limiti.
Infatti la registrazione dei siti visitati attraverso i LOG può
contenere informazioni riservate che il datore di lavoro, in linea di
principio, non può conoscere.
Si ritorna, anche in questo caso, alla normativa contenuta nella legge
300 del 1970 (Statuto dei Lavoratori) già più volte incontrata nei
precedenti articoli.
Anche in questo caso gli articoli interessati sono due: l'art. 4 e
l'art. 8.

E' necessario però distinguere tra le aziende che hanno un collegamento
diretto a Internet, attraverso un collegamento di tipo CDN con un
Carrier, e aziende che si affidano ad un Internet Service Provider per
la connessione.
Le prime evidentemente hanno la possibilità di accedere facilmente ai
dati che vengono registrati dai LOG e riferirli al personal computer da
cui è partito il comando (http, ftp, irc, ecc.).
Molto spesso questo comporta la riferibilità di informazioni personali a
persone fisiche assegnatarie del computer controllato.

Tutto questo può avvenire anche nel caso in cui, chi si collega ad un
ISP, installi un apparato interno atto a registrare gli indirizzi
Internet visitati.

In questi due casi, se il datore di lavoro accede ed analizza i dati
contenuti nel LOG, viola le norme citate dello Statuto dei Lavoratori.

Sotto il primo profilo (art. 4 comma 1) perché utilizza dati che
scaturiscono da un'apparecchiatura elettronica per controllare il
rendimento del lavoratore, senza avere esperito la procedura di garanzia
prevista dal comma 2 dello stesso articolo.
Sotto il secondo profilo perché, dall'esame dei siti visitati da un
determinato dipendente, il datore di lavoro potrebbe acquisire
informazioni sulle opinioni di quest'ultimo.
Il che è espressamente vietato dall'articolo 8 dello Statuto e
sanzionato da norme penali. Se, per esempio, un lavoratore subordinato
visitasse più volte al giorno il sito di un sindacato o di un partito
politico, fornirebbe al datore dati che questi non potrebbe, in ogni
caso, conoscere attraverso un'indagine.

Pertanto i LOG devono essere abilitati esclusivamente ad eseguire
rilevamenti di carattere statistico, generale ed impersonale.

Chi invece si affida ad un Internet Service Provider esterno, e non ha
modo di accedere ai dati provenienti dai LOG della navigazione Internet,
non corre il rischio di violare le norme in questione.
Nel caso in cui il datore di lavoro richieda al Provider la cessione di
questi dati, quest'ultimo dovrà negarla, sempre che sussista una
riferibilità a persone fisiche (gli assegnatari dei vari PC presenti
sulla LAN dell'azienda), e sarà tenuto a consegnarli esclusivamente
all'Autorità Giudiziaria competente in caso di atti illeciti svolti
sulla Rete.
Nel caso in cui non ottemperi a quest'obbligo sarà possibile configurare
una responsabilità dello stesso.

Se invece i dati si riferiscono solo alla navigazione effettuata
dall'azienda, considerata nel suo complesso, il datore li potrà ottenere
e saranno valide le regole sulla normativa dei dati personali (anche le
persone giuridiche sono tutelate dal nostro ordinamento) dettate dalla
legge 675 del 1996 e cioè: l'ISP dovrà dotarsi di opportune clausole
contrattuali che lo autorizzino, attraverso il consenso informato, a
trattare i dati del cliente (azienda).
Tale consenso è necessario in quanto i dati dei LOG sono estranei e non
necessari per la conclusione del contratto (per cui si avrebbe un
esonero dal consenso) e solo alcuni dati possono essere lecitamente
tenuti per legge (ex d.lgs 171/98, che tratteremo approfonditamente in
un prossimo articolo).

Anche in questo caso la soluzione migliore per il datore di lavoro è
tutelarsi attraverso l'elaborazione di una Policy di comportamento
interna all'azienda, dove venga chiarito l'uso che può essere fatto del
collegamento a Intenet, oltre che degli altri mezzi di comunicazione già
illustrati negli articoli precedenti.
Ciò che può essere fatto senza problemi è bloccare l'accesso a
determinati siti a contenuto estraneo all'attività dell'azienda (ad
esempio i siti pornografici, ma non solo) attraverso delle barriere
informatiche realizzate mediante l'adozione di specifici software. Le
controindicazioni però non mancano: da un lato potrebbero limitare
l'attività consentita (ad esempio la ricerca in campo legale) e
dall'altro non essere efficaci fino in fondo nel limitare quella non
consentita (i siti con contenuti "estranei all'attività lavorativa" si
evolvono più rapidamente di quanto facciano i software di controllo).

- Legge 20 maggio 1970, n. 300
Norme sulla tutela della libertà e dignità dei lavoratori, della libertà
sindacale e dell'attività sindacale nei luoghi di lavoro e norme sul
collocamento

- Legge 31 dicembre 1996, n. 675
Tutela delle persone e di altri soggetti rispetto al trattamento dei
dati personalViolare queste leggi ha conseguenze in sede penale.

Distinti saluti,

Operaio nel netorking
=========================================================================

Cosa significa tutto cio'?

Significa che, prima di tutto, non ho nessunissima voglia di fare lo sbirro,
e di controllore se gli utenti della rete si guardano www.tuttette.slurp o
www.cobas.org.

Che con gli strumenti che abbiamo a disposizione oggi, e con l'ignoranza di
essi, le possibilita' di controllo sono ormai terribili, e mettono in discussione
i minimi diritti di tutt*, lavoratori e lavoratrici in primis.

Infine, che in questo ambiente di lavoro, il rispetto e un qualcosa che assomigli
alla deontologia proprio non si sa cosa sia.

Perche' questa mail?

a) perche' mi girano i coglioni, parecchio;

b) per mettere sull'avviso tutt*, soprattutto quell* che lavorano in posti
dove c'e' una rete: non e' improbabile che qualcuno cotrolli tutti i vostri
movimenti, e NON possono farlo;

c) che e' il caso che su queste cose si inizi a ragionare molto ma molto seriamente,
soprattutto chi fa questo lavoro e, pur di mantenerlo, si riduce a fare lo/la
sbirro/a dei/lle colleghi/e.

PS
Lavorando io in Contratto di Collaborazione Continuativa, le mie possibilita'
di rimanere in questa azieda sono poche.
Non sono un'eroe, anzi, ma penso che sotto un certo livello non ci si possa
andare, per nessun motivo.