Blog

indagini informatiche dipdendente infedeleIl 9 giugno alle 14 nello spazio Arena 51 di SMAU Bologna analizzeremo le novità introdotte dal Job Act nelle dinamiche aziendali dei controlli e delle indagini informatiche forensi sugli strumenti informatici, computer tablet, smartphone, ma anche auto aziendali e in fringe benefit con sistemi di navigazione satellitare, affidati a dipendenti e collaboratori.
Un'occasione per fare il punto su cosa, nel post Job Act, può fare l'azienda per tutelare il proprio patrimonio, cercheremo di illustrare come in fattispecie reali le indagini informatiche forensi sono determinanti per la gestione e risoluzione di un contenzioso giuslavoristico. Vedremo anche di come normativamente e a livello organizzativo deve cambiare l'azienda per poter usare le leve di controllo fornite dal Job Act.

Vi aspettiamo quindi il 9 Giugno alle 14 Arena 51 di SMAU Bologna per parlare di Prove digitali, privacy e poteri di controllo in azienda.
Per iscrizioni: http://www.rdueb.it/rdueb16/schedules/prove-digitali-privacy-e-poteri-di-controllo-in-azienda/
per informazioni contattaci pure all'indirizzo af@studiofiorenzi.it o telefonicamente al 0550351263

Mediamente 69 giorni per scoprire di essere vittime di un data security incident, e altri 7 giorni per gestire il problema, questo quanto emerge dal report dello studio legale Baker & Hostetler L.L.P del Cleveland.lo studio si fonda si basa su oltre 300 incidenti in cui lo studio è stato coinvolto nel 2015. Secondo Baker & Hostetler ci voglio di media 40 giorni fra la scoperta del breach e l'identificazione dei sistemi coinvolti, e ben 43 giorni di media, fra l'apertura delle indagini forensi e il loro completamento.

Il report evidenzia anche come il data breach sia scoperto dalla vittima nel 51% dei casi ,  e nel rimanente 48% la vittima viene a conoscenza del breach da soggetti terzi.

Il reprot prende in esame anche le cause degli incidenti. Fra queste troviamo che phishing/hacking/malware sono causa di data incidents nel 31% dei casi,  errori o omissioni di dipendenti e collaboratori  nel 24%, furti ad opera di esterni  per il 17%, incidenti sui terze parti, fornitori e client,   nel 14%, furti ad opera di interni  per  l'8%, sottrazione, perdita o smaltimento non corretto per il 6%.

Lo scenario fotografato dal report dello studio Baker & Hostetler è calato nel contesto USA dove c'è certamente una maggiore sensibilità ai temi del data breach e disclosure, ma fornisce dati ed elemnti di riflessione che possono adattarsi anche al contesto Europeo e Italiano, con i dovuti distinguo naturalmente . In Italia e in Europa fino a che non ci sarà un obbligo di legge, vedi regolamento europeo sulla data protection, parlare di data breach e di disclousre è assolutamente improponibile, nessuna azienda italiana è oggi disposta ad ammetterebbe oggi di aver subito un data breach, menchè meno di renderlo pubblico, lo fa perchè costretto,  quando il breach viene scoperto e pubblicato dalla stampa o online.

Tre sono gli aspetti importanti che emergono da questo report che sono comuni anche a noi, sui quali è importante riflettere : il tempo che intercorre fra la discovery e la notification del data incidents; il tempo necessario alla forensics analysis, e le cause degli incidents.

Tre aree su cui tutti, a partire da noi professionisti del settore,  dovremo lavorare per migliorare la nostra capacità di azione e reazione all'incidents, e ... anche di prevenzione. Anzi sicuramente dobbiamo iniziare da qui, dall'adozione di prrocessi che divengano valori aziendali e di tecnologia,  che siano di aiuto a prevenire quella parte di incidents che deriva da errori e manomissioni, dai rapporti con cleinti e fornitori, da gestione non corretta dei dati..

Fonti: http://www.bakerlaw.com/press/bakerhostetler-data-security-incident-response-report-reveals-being-compromise-ready-better-positions-companies-to-respond-to-incidents,  http://www.businessinsurance.com/article/20160330/NEWS06/160339968/cleveland-based-baker-hostetler-l-l-p-reports-that-it-takes-69-days

Corte europea dei diritti umani ha stabilito che una società privata non viola il diritto alla privacy di un dipendente quando controlla le sue comunicazioni sugli account aziendali e che il licenziamento è giustificato se li utilizza a fini che non hanno nulla a che fare con l’attività lavorativa. Nella ricerca di un equilibrio, di bilanciamento tra il diritto alla privacy del dipendente e gli interessi del datore di lavoro, la Corte ha ritenuto "non irragionevole che un datore di lavoro voglia verificare che i dipendenti portino a termine i propri incarichi durante l'orario di lavoro. Anche l'attuale disciplina italiana, dopo le modifiche del Job Acts, risulta in linea con l'orientamento della suprema corte europea; l'azienda deve fornire chiare e puntali indicazioni su come possano essere gestiti gli strumenti aziendali forniti dal datore di lavoro per lo svolgimento delle proprie mansioni; dopodiché il dipendente che con assiduità, ripetutamente violi la Policy incorre prima in richiami , in sanzioni fino ad arrivare con la recidiva continua nel tempo, al licenziamento.
In tutto questo l'azienda deve avere regolamenti chiari, che non lascino spazzi a interpretazioni e usi impropri, rispettare i principi di proporzionalità ma sopratutto, quando arriva a definire un provvedimento disciplinare cristallizzare gli elementi probanti della violazione; sia che si tratti di richiami che di sanzioni ancorché di licenziamento.
Quando l'azienda avvia un procedimento disciplinare è importante pensare che quanto verrà fatto potrebbe, un domani, rendersi utile in giudizio; motivo per cui è importante che le prove acquisite, sopratutto quelle informatiche, siano acquisite secondo i principi delle indagini forensi,della Digital Forensics, e preferibilmente da una parte terza, che riveste un ruolo di garanzia e imparzialità.
Gia la Corte di Cassazione Italiana con la sentenza 2722/2012 aveva avallato il controllo delle mail aziendali da parte del datore di lavoro nell'ambito dei controlli difensivi. Nella sentenza, Secondo i giudici di Piazza Cavour, il datore di lavoro può controllare la posta elettronica del dipendente purché i controlli siano finalizzati a trovare riscontri a comportamenti illeciti del dipendente.
Il contesto giuslavoristico sia in Italia che in Europa sta cambiando rapidamente, i legislatori e le varie corti europee e nazionali stanno ridando alle aziende il diritto a disporre pienamente delle proprie risorse qualunque esse siano, tecnologiche che umane.

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.