Lavoro in un'azienda che fa networking, nella periferia del buco del culo del mondo. Qualche giorno fa il mio capo mi ha commissionato un server. Questo server dovrebbe sostituirne un altro, che gia' lavora, e dovrebbe fare da: - gateway (permettere a molti computer di una rete di unscire in rete attraverso una solo connessione internet); - firewall; - posta; - proxy web. Il "proxy web" e' un software che, tra le altre cose, permette di mantenere in memoria le pagine internet visitate dai computer della rete, cosi' da poterle dare nel momento venissero' richieste le medesime pagine. In questo modo si risparmia "banda" e si velocizzano le connessioni. Tutto bello e giusto, quindi. Non fosse che il mio capo mi ha anche chiesto di "tenere traccia" di tutte le singole richieste dai singoli computer e, se possibile, mettere in una pagina web privata i risultati. Echeccazzo. Al momento della richiesta la cosa mi e' piaciuta assai poco, e dopo un breve indagare ho scoperto che: - la cosa e' illegale, come vedrete sotto; - l'altra macchina lo sta gia' facendo; - e' una procedura comune in tutte le aziende della zona, tanto che al mio rifiuto si sono a) incazzati b) stupiti. Al mio capo ho mandato la seguente mail: ========================================================================== Egregio XXX, mentre lavoravo per mettere su il server, mi sono venuti dei dubbi, che vado ad esporti. I log di Squid, il proxy web che ho configurato sul server, violano gravemente alcune leggi sulla privacy, permettendo di controllare il comportamento e le preferenze dei dipendenti della ditta per cui lavorano. Infatti in http://www.unonet.it/articoli/diritto/ puoi leggere: Utilizzo di Internet L'informatizzazione delle aziende ha portato la maggior parte dei lavoratori subordinati ad operare con gli strumenti tipici dell'informatica. Lo sviluppo delle reti ha fatto sì che quasi ogni personal computer sul luogo di lavoro abbia la possibilità di connettersi con altri elaboratori. All'inizio c'erano le reti locali LAN (Local Area Network) chiamate successivamente, grazie alla diffusione del protocollo TCP/IP, Intranet; poi si è passati a collegare sistemi interni con l'esterno per realizzare le Extranet e, contemporaneamente, diventava parte integrante del sistema informatico aziendale il collegamento alla "Big Internet". L'attività su Internet svolta da un dipendente può costituire un utile strumento di lavoro, consentendo di accedere, in maniera semplice ed istantanea, ad una quantità illimitata di informazioni. Ma all'interno di quest'ultima è inevitabile che ne esistano anche moltissime che con l'attività lavorativa non hanno nulla a che fare. Ecco che la ricerca di informazioni extra lavorative può integrare una condotta scorretta da parte del lavoratore subordinato. Passare ore davanti al computer, durante l'orario di lavoro, al fine di visitare siti aventi contenuto estraneo alle proprie mansioni, sicuramente costituisce un inadempimento contrattuale nei confronti del datore di lavoro. Per prevenire e contrastare comportamenti di questo genere il datore di lavoro ha pochi strumenti e molti limiti. Infatti la registrazione dei siti visitati attraverso i LOG può contenere informazioni riservate che il datore di lavoro, in linea di principio, non può conoscere. Si ritorna, anche in questo caso, alla normativa contenuta nella legge 300 del 1970 (Statuto dei Lavoratori) già più volte incontrata nei precedenti articoli. Anche in questo caso gli articoli interessati sono due: l'art. 4 e l'art. 8. E' necessario però distinguere tra le aziende che hanno un collegamento diretto a Internet, attraverso un collegamento di tipo CDN con un Carrier, e aziende che si affidano ad un Internet Service Provider per la connessione. Le prime evidentemente hanno la possibilità di accedere facilmente ai dati che vengono registrati dai LOG e riferirli al personal computer da cui è partito il comando (http, ftp, irc, ecc.). Molto spesso questo comporta la riferibilità di informazioni personali a persone fisiche assegnatarie del computer controllato. Tutto questo può avvenire anche nel caso in cui, chi si collega ad un ISP, installi un apparato interno atto a registrare gli indirizzi Internet visitati. In questi due casi, se il datore di lavoro accede ed analizza i dati contenuti nel LOG, viola le norme citate dello Statuto dei Lavoratori. Sotto il primo profilo (art. 4 comma 1) perché utilizza dati che scaturiscono da un'apparecchiatura elettronica per controllare il rendimento del lavoratore, senza avere esperito la procedura di garanzia prevista dal comma 2 dello stesso articolo. Sotto il secondo profilo perché, dall'esame dei siti visitati da un determinato dipendente, il datore di lavoro potrebbe acquisire informazioni sulle opinioni di quest'ultimo. Il che è espressamente vietato dall'articolo 8 dello Statuto e sanzionato da norme penali. Se, per esempio, un lavoratore subordinato visitasse più volte al giorno il sito di un sindacato o di un partito politico, fornirebbe al datore dati che questi non potrebbe, in ogni caso, conoscere attraverso un'indagine. Pertanto i LOG devono essere abilitati esclusivamente ad eseguire rilevamenti di carattere statistico, generale ed impersonale. Chi invece si affida ad un Internet Service Provider esterno, e non ha modo di accedere ai dati provenienti dai LOG della navigazione Internet, non corre il rischio di violare le norme in questione. Nel caso in cui il datore di lavoro richieda al Provider la cessione di questi dati, quest'ultimo dovrà negarla, sempre che sussista una riferibilità a persone fisiche (gli assegnatari dei vari PC presenti sulla LAN dell'azienda), e sarà tenuto a consegnarli esclusivamente all'Autorità Giudiziaria competente in caso di atti illeciti svolti sulla Rete. Nel caso in cui non ottemperi a quest'obbligo sarà possibile configurare una responsabilità dello stesso. Se invece i dati si riferiscono solo alla navigazione effettuata dall'azienda, considerata nel suo complesso, il datore li potrà ottenere e saranno valide le regole sulla normativa dei dati personali (anche le persone giuridiche sono tutelate dal nostro ordinamento) dettate dalla legge 675 del 1996 e cioè: l'ISP dovrà dotarsi di opportune clausole contrattuali che lo autorizzino, attraverso il consenso informato, a trattare i dati del cliente (azienda). Tale consenso è necessario in quanto i dati dei LOG sono estranei e non necessari per la conclusione del contratto (per cui si avrebbe un esonero dal consenso) e solo alcuni dati possono essere lecitamente tenuti per legge (ex d.lgs 171/98, che tratteremo approfonditamente in un prossimo articolo). Anche in questo caso la soluzione migliore per il datore di lavoro è tutelarsi attraverso l'elaborazione di una Policy di comportamento interna all'azienda, dove venga chiarito l'uso che può essere fatto del collegamento a Intenet, oltre che degli altri mezzi di comunicazione già illustrati negli articoli precedenti. Ciò che può essere fatto senza problemi è bloccare l'accesso a determinati siti a contenuto estraneo all'attività dell'azienda (ad esempio i siti pornografici, ma non solo) attraverso delle barriere informatiche realizzate mediante l'adozione di specifici software. Le controindicazioni però non mancano: da un lato potrebbero limitare l'attività consentita (ad esempio la ricerca in campo legale) e dall'altro non essere efficaci fino in fondo nel limitare quella non consentita (i siti con contenuti "estranei all'attività lavorativa" si evolvono più rapidamente di quanto facciano i software di controllo). - Legge 20 maggio 1970, n. 300 Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell'attività sindacale nei luoghi di lavoro e norme sul collocamento - Legge 31 dicembre 1996, n. 675 Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personalViolare queste leggi ha conseguenze in sede penale. Distinti saluti, Operaio nel netorking ========================================================================= Cosa significa tutto cio'? Significa che, prima di tutto, non ho nessunissima voglia di fare lo sbirro, e di controllore se gli utenti della rete si guardano www.tuttette.slurp o www.cobas.org. Che con gli strumenti che abbiamo a disposizione oggi, e con l'ignoranza di essi, le possibilita' di controllo sono ormai terribili, e mettono in discussione i minimi diritti di tutt*, lavoratori e lavoratrici in primis. Infine, che in questo ambiente di lavoro, il rispetto e un qualcosa che assomigli alla deontologia proprio non si sa cosa sia. Perche' questa mail? a) perche' mi girano i coglioni, parecchio; b) per mettere sull'avviso tutt*, soprattutto quell* che lavorano in posti dove c'e' una rete: non e' improbabile che qualcuno cotrolli tutti i vostri movimenti, e NON possono farlo; c) che e' il caso che su queste cose si inizi a ragionare molto ma molto seriamente, soprattutto chi fa questo lavoro e, pur di mantenerlo, si riduce a fare lo/la sbirro/a dei/lle colleghi/e. PS Lavorando io in Contratto di Collaborazione Continuativa, le mie possibilita' di rimanere in questa azieda sono poche. Non sono un'eroe, anzi, ma penso che sotto un certo livello non ci si possa andare, per nessun motivo.