Come già richiamato in precedenza su questo blog, il furto d’identità online, meglio noto come phishing, ad oggi continua ad aumentare, rappresentando una minaccia crescente non solo per gli utenti in generale, ma anche per la sicurezza informatica delle aziende. Il rischio principale riguarda gli account e-mail aziendali, strumenti quanto mai essenziali per le comunicazioni interne ed esterne.

Al fine di prevenire il rischio legato al fenomeno del phishing, il Regolamento europeo sulla protezione dei dati personali riporta quale regola generale il necessario intervento del Titolare del trattamento al fine di “istruire” i soggetti per far sì che questi comprendano il fenomeno e le tecniche utilizzate dai criminali informatici.

Inoltre, in ambito giuslavoristico, lo Statuto dei Lavoratori italiano presenta delle previsioni specifiche con riguardo alla corrispondenza aziendale, sancendo come la formazione dei dipendenti sull’uso, nonché il controllo delle e-mail aziendali siano riconducibili a doveri del datore di lavoro, che dovrà dunque seguire una policy sulla gestione degli strumenti informatici, nonché una policy sulle modalità di controllo degli stessi nel rispetto delle previsioni in materia di Privacy.

In tal senso, rientra negli obblighi del datore di lavoro l’adozione di una politica informativa attraverso la quale si chiarisca al lavoratore la necessità di analizzare – nel momento in cui arrivi una e-mail sospetta o comunque non attesa – il mittente (ossia la correttezza dell’indirizzo e-mail), nonché il contenuto dell’e-mail (testo, grammatica, tono usato e firma del messaggio).

In aggiunta a tale “percorso formativo”, seguendo anche le Linee guida fornite nel 2007 dal Garante della Privacy sull’uso della posta elettronica e della navigazione in internet nei rapporti di lavoro, il datore di lavoro dovrà inoltre effettuare un controllo attento secondo un criterio di trasparenza e sempre nel rispetto della privacy del lavoratore.

A tal fine, è necessario ribadire i compiti del datore di lavoro, che dunque dovrà:

i. trasmettere una informativa che sia idonea a chiarire al dipendente alcune informazioni sulla posta elettronica, come la sua collocazione, il tempo e le modalità di conservazione, nonché le ragioni del perché vi sia tale conservazione delle comunicazioni;

ii. informare anche il mittente di una eventuale e-mail che l’uso della posta elettronica aziendale è visibile anche ad altro personale dell’ufficio e non solo al lavoratore destinatario, che in alcun modo può utilizzare l’e-mail aziendale per comunicazioni personali;

iii. dotarsi di una policy per prevenire il rischio di phishing o, nel caso in cui si verifichi un episodio di furto di identità online, per affrontare il fenomeno tramite delle misure specifiche;

iv. specificare modalità e tempi in cui possono avvenire i controlli delle e-mail aziendali proprio in virtù della responsabilità di controllo in capo all’azienda da effettuare sempre nel rispetto della Privacy del lavoratore.

Luca Davini
Avvocato in Milano e Torino

#dirittonuovetecnologie #tutelaccauntaziendale #phishing #dirittosocietario #frodeidentità #frodeinformatica #trattamentodatipersonali #tuteladipendenti #garanteprivacy