bsaett

Vedo la questione molto complessa per cui il primo, ed ovvio, suggerimento è di rivolgersi ad un legale.

Comunque ad una prima analisi direi che la persona in questione potrebbe rispondere di vari reati, ad esempio l'accesso abusivo ad un sistema informatico, poichè pur essendo autorizzato all'accesso è andato oltre i limiti della sua autorizzazione (l'autoizzazione non se la può dare da sè). Poi ritengo sia configurabile anche il trattamento illecito dei dati (i dati sensibili dei clienti per i quali suppongo non avesse autorizzazione al trattamento consistente nella copia e trasporto dei dati).
Ovviamente questi due reati aprono la strada anche a profili civilistici, di risarcimento danni.
Ovviamente si deve anche analizzare il contratto sottoscritto, per verificare se sorgono ulteriori ipotesi di responsabilità.

esco

avevo scritto:

"La pass è la medesima per tutti i professionisti ed è necessaria per evitare che stagisti e/lo altri non autorizzati possano accedere ai dati del server."

Insomma:

coloro che sono vincolati da un contratto con la sottoscrizione dell'impegno alla riservatezza, possono avere accesso ai dati, gli altri no. E' una misura minima proprio per evitare che persone non autorizzate possano accedere al server.

Quindi il soggetto in questione era autorizzato ad accedere al server per svolgere le sue attività, era un professionista pagato, anche molto bene, e non era autorizzato a clonare il server e portarlo a casa.

Le misure minime del DPS sono state implementate proprio "al minimo" perchè ai dati sensibili possono accedere solo coloro che sono coinvolti professionalmente su uno o più progetti: la questione è delicata, poichè aspettare che si verifichi "il danno effettivo" potrebbe essere inteso come "negligenza" da parte dell'amministratore.

Se ci si è accorti che i dati sensibili dei clienti sono stati copiati dal server aziendale e trasferiti nell'hard disk di un professionista che non lavora più per la società, e dunque non ha più vincoli di riservatezza, come si può suggerire di non fare nulla?

Oppure, come si può suggerire che è necessario/opportuno aspettare il "danno effettivo"?

Se si volesse/potesse "prevenire" il "danno effettivo" non è meglio?

vnotarfrancesco

@esco said:

"La pass è la medesima per tutti i professionisti ed è necessaria per evitare che stagisti e/lo altri non autorizzati possano accedere ai dati del server."

Come ha scritto Criceto, quanto sopra non corrisponde alle misure minime previste per legge, anzi espone voi a dei rischi, in misura maggiore visto che scrivi che l'oggetto del trattamento sono dati sensibili e non semplicemente dati personali.

In mancanza di una lettere d'incarico al trattamento dei dati con indicazione chiara e precisa del tipo e della modalità dei trattamenti autorizzati e non autorizzati, il collaboratore potrebbe dimostrare, chiamando a testimoniare altri collaboratori e/o dipendenti che:

• era prassi che venisse richiesta verbalmente di consegnare i progetti entro una certa data e che l'unica possibilità era continuare a svolgere il lavoro da casa.
  A tal proposito, tu stesso scrivi che:
  @esco said:

non si può escludere che potesse operare di notte a casa
Quindi l'amministratore di rete aveva predisposto per lui un accesso in remoto in vpn, implicitamente autorizzandolo ad operare sui dati aziendali al di fuori delle sue strutture. Qualcuno avrà autorizzato questo amministratore di rete, altrimenti va denunciato anche lui.

(Lavorando in vpn alcune operazioni potrebbero essere molto lente con il rischio di rovinare irrimediabilmente i dati, per cui ci sono situazioni dove si preferisce trasferire ad esempio il file di Excel sul proprio pc in locale, lavorarci su e poi reinviare i dati sul server; ovvio che sull'hd del pc di casa restano innumerevoli tracce).

• Può dimostrare che è prassi per l'azienda permettere lo svolgimento delle attività usando, anche solo parzialmente, attrezzature e mezzi propri dei collaboratori e dipendenti.
  Sicuri che tutte le chiavette usb che girano per l'ufficio siano di proprietà dell'ufficio e che siano stati adottate le misure tecniche "oggi" disponibili ed economicamente congrue rispetto al business dell'azienda per proteggere i preziosi dati sensibili?

Per quello che posso vedere Io dai miei clienti, è la prassi sia di piccole aziende, sia di grandi, sia di enti pubblici "approfittare" di qualche chiavetta usb, di qualche netbook, di qualche chiavetta umts di proprietà dei dipendenti.

Se la situazione è poco chiara, Io piuttosto mi adopererei per evitare in futuro queste situazioni, anche in virtù del fatto che sembra che questo collaboratore non abbia usato questi dati quindi potrebbe aver fatto tutto questo semplicemente in buona fede.

Valerio Notarfrancesco

bsaett

Premesso che il caso è piuttosto complicato e per questo avevo suggerito di contattare un legale per una disamina completa di tutti gli aspetti, cerchiamo di non limitarci al solo aspetto "privacy", perchè i reati penali sono sicuramente più gravi.

Il fatto che la persona in questione non avesse mai avuto l'autorizzazione a clonare il server (e quindi i dati in esso presenti), anche se lo ha fatto solo parzialmente ciò determina di per sè un reato punibile fino a 3 anni (accesso abusivo...). Il danno è insito nel comportamento, cioè l'accesso abusivo al sistema (dove per abusivo si intende che è andato al di là delle autorizzazioni previste). Il fatto che avesse le credenziali per l'accesso gli consente di accedere da dove vuole lui (anche da casa), a meno che non gli sia stato specificato che deve accedere solo da un punto specifico (per motivi di sicurezza), ma ciò non lo autorizza comunque a copiare il server. Una cosa è operare sui dati, ben altro è copiarli, visto che è un trattamento ben diverso.
Inoltre a ciò si aggiunge anche il trattamento illecito dei dati, per il quale reato (punito fino a 2 anni) occorre però provare un nocumento.

Mi rendo conto che ognuno cerca di apportare un contributo secondo la propria esperienza professionale, ma non perdiamo di vista il quadro generale. A mio modesto avviso i reati ci sono e possono essere preponderanti rispetto agli aspetti relativi alle misure di sicurezza.
In effetti l'omissione delle misure minime (semmai risultasse) comporta solo una sanzione amministrativa, semmai un giudice penale volesse occuparsi di ciò (se parliamo di un procedimento penale non vi è la possibilità da parte dell'imputato di dire "si però l'altro anche ha commesso dei reati", non è una causa civile).

Ovvio che la questione necessita un approfondimento di un legale, che sia complessivo e non trascuri alcun aspetto della vicenda.
Ma, mi permetto di notare che se per caso la persona in questione ha usato in qualche modo i dati, la mancata denuncia dell'azienda potrebbe portare ad una azione di responsabilità da parte dei titolari dei dati medesimi verso l'azienda. Penso che solo sentendo un legale esperto si possa comprendere esattamente cosa fare per cautelarsi al fine di evitare danni ulteriori.

esco

Ringrazio per osservazioni così pertinenti.

Non sono esperto della legge sulla privacy e/o di aspetti penali, ma in generale e banalmente ritengo che:

tu lasci la tua macchina con le porte aperte nel tuo garage provvisto di porta chiusa dall'esterno e concedi l'accesso al garage ad alcune persone da te autorizzate ed una di queste persone approfitta della tua fiducia e si appropria, copiando, di numerosi documenti presenti nella tua auto e nel garage che non doveva copiare e portarsi a casa: secondo me, molto banalmente, questo comportamento è censurabile, non so se è un reato piccolo o grande, ma certamente è un comportamento molto scorretto.

Se inviti a casa tua alcuni amici a cena, ed uno astutamente va in camera da letto, fruga il cassetto, copia alcuni documenti e se li porta a casa... mi pare che prima di suggerire come selezionare meglio gli amici e/o di suggerire come mettere le inferriate alla camera da letto, mi pare sia importante segnalare "didatticamente" a tutti che il comportamento di questa persona è scorretto, molto scorretto e certamente da non emulare.

lorenzo.74

@esco said:

Se inviti a casa tua alcuni amici a cena, ed uno astutamente va in camera da letto, fruga il cassetto, copia alcuni documenti e se li porta a casa... mi pare che prima di suggerire come selezionare meglio gli amici e/o di suggerire come mettere le inferriate alla camera da letto, mi pare sia importante segnalare "didatticamente" a tutti che il comportamento di questa persona è scorretto, molto scorretto e certamente da non emulare.

Senz'altro il cattivo comportamento della persona su cui si ripone fiducia è da biasimare e da condannare; scorrettissimo però rimane il comportamento dell'azienda nei confronti dei suoi clienti. Se riceve dei dati personali o addirittura sensibili deve essere in grado di custodirli riducendo tutti i rischi di furto di dati.
E' evidente che il comportamento del collaboratore è deprecabile, ma il fatto di per se di concedere l'accesso a tutti con la stessa password è comunque cosa assai poco seria.

Tra i due comportamenti ritengo peggiore quello dell'azienda, che ha tutto il diritto di perseguire il collaboratore, ma dovrebbe comunque riflettere attentamente sull'accaduto.
E' ovviamente una considerazione "personale" dettata dal mio modo di vedere le cose; per quanto riguarda i risvolti penali concordo con Bsaett.

ziobudda

Scusate, non sono un avvocato, ma se io fossi nella parte dell'ex-lavoratore direi "il mio responsabile in data X-Y-Z mi aveva autorizzato, a voce, a portare i documenti a casa per poter lavorare anche la sera così da recuperare il tempo che ero in ritardo ed i documenti interessati ora risiedono su un mio disco di backup perché è mia normalità effettuare un backup di tutto il mio disco, indistintamente da quale sia il contenuto delle cartelle.". A questo punto non sarebbe la mia parola contro la sua ? Nel primo post c'è scritto che è possibile lavorare di sera da casa, quindi è plausibile che ci sia stata una autorizzazione anche solo verbale.

M.

bsaett

Ciao Zio Budda,

il tuo argomento può essere ribaltato facilmente, allora anche l'azienda potrebbe dire di aver vietato verbalmente ai dipendenti di portare dati a casa.

Inoltre, credo si stia facendo un errore di prospettiva, i dati aziendali sono beni dell'azienda, per cui in assenza di autorizzazione nessun dipendente può appropriarsene. Sarebbe come se si fosse portato un computer a casa per lavorare.
Inoltre trattandosi di dati suppongo personali, è abbastanza evidente che non è ipotizzabile una autorizzazione a farli uscire dall'azienda, se non in casi eccezionali. Insomma se dobbiamo fare un discorso per presunzioni, queste a mio modesto parere sono a favore dell'azienda. E' ovvio però che tutto dipende da cosa c'è scritto negli accordi contrattuali con i dipendenti, dei quali noi non abbiamo alcuna contezza, per cui la nostra valutazione è sicuramente parziale.

Da come ho capito il dipendente aveva l'autorizzazione ad accedere ai dati per lavorarci su, per cui non sussiste alcun problema di aver lasciato i dati in balia del primo che capita. Si tratta di persona autorizzata al trattamento, ma che è andato oltre i termini dell'autorizzazione. Quando si autorizza qualcuno ad un trattamento, è evidente che trattamenti ulteriori sono vietati, per cui se io sono autorizzato a lavorare i dati non posso sicuramente trasferirli in altro luogo. Ma di certo devo avere l'accesso ai dati, se no come li lavoro? E se ne ho l'accesso è evidente che ho la possibilità materiale di copiarli.
Credo sia questo l'aspetto essenziale da tenere bene a mente per inquadrare il problema. Senza però dimenticare una valutazione del rispetto delle misure minime di sicurezza.

lorenzo.74

@bsaett said:

Quando si autorizza qualcuno ad un trattamento, è evidente che trattamenti ulteriori sono vietati, per cui se io sono autorizzato a lavorare i dati non posso sicuramente trasferirli in altro luogo.

Interessante questo punto. A questo punto la domanda mi sorge spontanea; non credo di essere l'unica pecora nera, ma a me capita spesso di potrarmi il lavoro a casa e quindi di mettere dei file nella chiavetta usb, come capita spesso di portare lavori a stampare, previo inserimento della chiavetta nel pc del plotter service. "Lato privacy" è un comportamento deprecabile?

lorenzo.74

Certo, in effetti di dati che possono essere contenuti in un elaborato tecnico sono ben pochi; giusto il nome e cognome del committente e qualche dato catastale. Ma sai, visto il discorso (ed il fatto che il thread si riferisce ad una società di ingegneria, anche se non è chiaro di che "tipo" di ingegneri si tratta) mi era sorto spontaneo il dubbio.

E poi, in effetti, un conto è la copia di hard disk interi all'insaputa del proprietario, che, oltre che penalmente, credo sia un'azione sanzionabile anche deontologicamente, ed un conto è prelevare qualche file per lavoro che sarà alla fine ricollocato nel pc originario.

bsaett

E? giusta l?osservazione di Criceto, in quanto il tecnico informatico ha davvero nelle sue mani più segreti di un confessore, per fortuna non ha obblighi di denuncia:D.
La problematica non è di poco conto, poiché il proprietario del computer, o meglio il titolare del trattamento dei dati in esso contenuti, è responsabile verso i titolari dei dati medesimi.

In merito alla domanda di Lorenzo74, anche qui il problema è complesso.
Io personalmente ho meno preoccupazioni in quanto gli avvocati agiscono sulla base di autorizzazioni generali, per cui non necessita un consenso, anche trattandosi di dati sensibili-giudiziari.
Però l?autorizzazione generale si limita ad identificare una finalità di trattamento, per cui si autorizzano i trattamenti che siano diretti alla prestazione intellettuale. Manca invece una precisazione delle modalità del trattamento, cosa di non poco conto.
Essendo il titolare del trattamento, mi basta inserire nell?informativa le modalità che mi occorrono, compreso l?estrazione, la copia e l?utilizzo su altri computer (ad esempio quello di casa, che poi inserisco ovviamente nel DPS).
È ovvio che poi il trasferimento dei dati deve avvenire secondo modalità sicure (basta una pendrive cifrata), e il computer di casa deve essere protetto a sufficienza (meglio se l?accesso è limitato al solo titolare).
È evidente, però, che tale discorso vale per il titolare del trattamento, non per gli incaricati. Cioè, se voglio avvalermi di collaboratori, devi nominarli incaricati del trattamento (con la lettera di incarico che diceva Criceto), e stabilire le modalità del loro trattamento. Cioè, se io sono autorizzato a portarmi i dati a casa, loro non lo sono automaticamente, a meno che io non li autorizzi espressamente, per cui non potranno portare i dati a casa loro.
Lo stesso discorso si fa per l?azienda della discussione, la quale è la titolare del trattamento, mentre i dipendenti sono incaricati, e quindi possono eseguire solo i trattamenti espressamente autorizzati.

Tra l?altro, tornando su un punto già precedentemente discusso, colgo l?occasione per ricordare che le misure di sicurezza sono strettamente legate ad una serie di parametri. Cioè esse devono essere proporzionate al rischio, alla dimensione dell?azienda, ecc?
Quindi una valutazione non può prescindere da questi elementi dei quali non siamo a conoscenza. Una cosa è se parliamo di una piccola azienda che tratta dati di scarna importanza, cosa ben diversa è una azienda di dimensioni maggiori. È evidente che le misure saranno senz?altro ben diverse.
Questo per tornare al discorso della protezione dei dati. Se il dipendente ha l?accesso ai dati, il pensare di attuare delle protezioni tipo impedire l?allacciamento di pendrive, blocchi di memoria, non so, cose del genere, probabilmente non risulterebbe adeguato al rischio, e quindi potrebbe non essere esigibile all?azienda. Se pensiamo per fare un paragone che le misure minime prevedono l?aggiornamento dell?antivirus ogni 6 mesi?..