La minaccia nascosta...Sicurezza, rischi e responsabilità D. Lgs. 81/2008 •nel caso in cui non...
Transcript of La minaccia nascosta...Sicurezza, rischi e responsabilità D. Lgs. 81/2008 •nel caso in cui non...
© 2017 AVIXA
La minaccia nascostaAutonomi ma in regola
Avv. Manuela Monti
Avv. Massimo Davi
Redrim s.c.smartworking.redrim.it
© 2017 AVIXA
Oggi parliamo di
Smart Working: il quadro normativo
Protezione dei dati personali e aziendali
Sicurezza, rischi e responsabilità
Minacce e cybersecurity
© 2017 AVIXA
Smart Working o Lavoro agile: il quadro normativo
Definizione
E’ una modalità di esecuzione del rapporto
di lavoro subordinato a distanza, flessibile
non soggetta a precisi vincoli di orario ( nei limiti di
durata massima dell’orario giornaliero) e di luogo di
lavoro (locali aziendali ed esterni)
con prevalente uso di strumenti tecnologici
più autonomia nelle modalità organizzative
più responsabilizzazione su obiettivi
© 2017 AVIXA
Smart Working : il quadro normativo
Il lavoro agile e la legge 81/2017
Fine: incrementare la competitività e agevolare la
conciliazione dei tempi di vita e di lavoro.
Il datore di lavoro è responsabile della sicurezza e
del buon funzionamento degli strumenti
tecnologici.
Presupposto: accordo scritto tra datore di lavoro
e lavoratore.
© 2017 AVIXA
Smart Working : il quadro normativo
Il lavoro agile e la legge 81/2017
Elementi essenziali dell’accordo:
modalità di esecuzione prestazione lavorativa (incluse
modalità potere direttivo datoriale e strumenti lavoratore)
tempi di riposo e misure per assicurare disconnessione
durata - tempo determinato o indeterminato - e preavviso
esercizio del potere di controllo datoriale e disciplinare
© 2017 AVIXA
Smart Working : il quadro normativo
Il lavoro agile e la legge 81/2017
Trattamento normativo ed economico non inferiore
a quello dei lavoratori con mansioni analoghe in
azienda.
Disciplina del rapporto può rinviare a quanto
previsto nella contrattazione collettiva.
© 2017 AVIXA
Smart Working : emergenza COVID e norme
Lavoro agile e normativa fase emergenziale
DPCM 1 marzo 2020
DPCM 8 marzo 2020
DPCM 11 marzo 2020
D.L. 18/ 2020 cd. Decreto Cura Italia
convertito con Legge 24 aprile 2020 n. 27
Decreto Legge Rilancio?
© 2017 AVIXA
Smart Working : emergenza COVID e norme
Lavoro agile in fase emergenziale caratteristiche
Fine: tutelare la salute dei lavoratori garantendo la
continuità produttiva nella situazione
emergenziale.
Presupposto: il datore di lavoro ha la facoltà di
convertire, con provvedimento unilaterale
temporaneo, la modalità ordinaria di esecuzione
della prestazione di lavoro in modalità agile e di
determinarne le forme organizzative.
© 2017 AVIXA
Smart Working : emergenza COVID e norme
Lavoro agile in fase emergenziale caratteristiche
Non è necessario presupposto della
consensualità né l’accordo scritto con il
lavoratore per la regolarità amministrativa e ai fini
della prova.
Lavoro agile della fase emergenziale non si
identifica integralmente con lo smartworking
ordinario di cui alla Legge 81/2017.
© 2017 AVIXA
Smart Working : il quadro normativo
Diritti e doveri del lavoratore
divieto di controllo a distanza dei lavoratori
mediante software o altri strumenti, anche nel
rispetto dell’art. 4 dello Statuto dei lavoratori
diritto alla disconnessione
diritto alla formazione
obbligo di cooperazione nell’attuazione misure
prevenzione
obbligo di custodire con diligenza devices
aziendali
responsabilità riservatezza dei dati
© 2017 AVIXA
Oggi parliamo di
Smart Working: il quadro normativo
Protezione dei dati personali e aziendali
Sicurezza, rischi e responsabilità
Minacce e cybersecurity
© 2017 AVIXA
Protezione dei dati personali e aziendali
Informative e regolamenti aziendali
lettera di assegnazione dei devices aziendali
regolamento aziendale con istruzioni e regole di utilizzo dei
sistemi informatici e dei devices aziendali
informativa relativa ai possibili controlli a distanza sul
lavoratore nel rispetto dell’art 4 L. 300/1970 (Statuto dei
lavoratori)
© 2017 AVIXA
Protezione dei dati personali e aziendali
Privacy e riservatezza
informativa riguardante tutti i trattamenti dei dati del lavoratore aisensi dell’art 13 del GDPR
autorizzazione ai dipendenti al trattamento di dati fuori dai localiaziendali e le relative istruzioni tecniche e organizzative pergarantire la sicurezza dei dati
accordo di riservatezza con il dipendente per tutelare datiaziendali
formazione adeguata per dipendenti e certificazione
© 2017 AVIXA
Protezione dei dati personali e aziendali
Privacy e riservatezza
misure di sicurezza rese obbligatorie dalla normativa in
tema di protezione dei dati personali (es. crittografia)
in caso di uso di dispositivi personali, valutazione rischi e
adozione di misure idonee a garantire protezione dati
regolamentazione BYOD (bring your own device)
responsabilità del titolare del trattamento in caso di
trattamento di dati personali: accountability e onere della
prova
© 2017 AVIXA
Oggi parliamo di
Smart Working: il quadro normativo
Protezione dei dati personali e aziendali
Sicurezza, rischi e responsabilità
Minacce e cybersecurity
© 2017 AVIXA
Sicurezza, rischi e responsabilità
D. Lgs. 81/2008
Art. 2087 Codice civile
L'imprenditore è tenuto ad adottare nell'esercizio dell'impresa le misure
che, secondo la particolarità del lavoro, l'esperienza e la tecnica, sono
necessarie a tutelare l'integrità fisica e la personalità morale dei
prestatori di lavoro [Cost. 37, 41].
© 2017 AVIXA
Sicurezza, rischi e responsabilità
D. Lgs. 81/2008
art. 22, L. n. 81/2017 “Sicurezza sul lavoro 1. Il datore di lavoro garantisce la salute e la
sicurezza del lavoratore che svolge la prestazione in modalita' di lavoro agile e a tal fine
consegna al lavoratore e al rappresentante dei lavoratori per la sicurezza, con cadenza
almeno annuale, un'informativa scritta nella quale sono individuati i rischi generali e i rischi
specifici connessi alla particolare modalita' di esecuzione del rapporto di lavoro. 2. Il
lavoratore e' tenuto a cooperare all'attuazione delle misure di prevenzione predisposte dal
datore di lavoro per fronteggiare i rischi connessi all'esecuzione della prestazione all'esterno
dei locali aziendali”.
CIRCOLARE INAIL N. 48/2017, “Per quanto concerne gli aspetti peculiari del lavoro agile, gli infortuni
occorsi mentre il lavoratore presta la propria attivita lavorativa all’esterno dei locali aziendali e nel
luogo prescelto dal lavoratore stesso sono tutelati se causati da un rischio connesso con la
prestazione lavorativa. (…) Il lavoratore “agile” e tutelato non solo per gli infortuni collegati al rischio
proprio della sua attivita lavorativa, ma anche per quelli connessi alle attivita prodromiche e/o
accessorie purche strumentali allo svolgimento delle mansioni proprie del suo profilo
professionale”,https://www.inail.it/cs/internet/atti-e-documenti/note-e provvedimenti/circolari/circolare-n-48-del-2-novembre-2017.html
© 2017 AVIXA
Sicurezza, rischi e responsabilità
D. Lgs. 81/2008
PRESIDENZA DEL CONSIGLIO DEI MINISTRI N. 3/2017, “(…) A garanzia della salute e sicurezza del
lavoratore, che svolge la prestazione in modalità di lavoro agile, il datore di lavoro: • consegna al
lavoratore e al RLS prima dell’avvio della prestazione di lavoro agile, con cadenza almeno annuale
(e/o ad ogni variazione significativa delle condizioni lavorative e di rischio connesse in particolare
con il cambio di mansione) l’informativa dove sono individuati i rischi generali e specifici relativi alla
prestazione da svolgere e le misure da
adottare; • somministra adeguata formazione periodica, in merito ai requisiti di salute e sicurezza,
qualora non ricompresa in quella prevista dal d.lgs 81/2008, circa il corretto svolgimento della
prestazione di lavoro agile in ambienti indoor e outdoor; • nel caso in cui fornisca gli
strumenti/dispositivi informatici/telematici, si assicura che essi siano conformi normativamente a
standard tecnici; • nel caso in cui fornisca le attrezzature di lavoro/apparecchiature, si assicura che
esse siano conformi al Titolo III del d.lgs. 81/2008 nonché alle specifiche disposizioni legislative e
regolamentari di recepimento delle Direttive comunitarie di prodotto; • nel caso in cui fornisca
apparecchiature elettriche/elettroniche, predilige quelle a doppio isolamento;
© 2017 AVIXA
Sicurezza, rischi e responsabilità
D. Lgs. 81/2008
• nel caso in cui non fornisca gli strumenti, le attrezzature o i dispositivi di cui sopra, attua comunque
le misure di tutela di cui all’articolo 15 del d.lgs. 81/2008; • somministra adeguata formazione e
informazione circa l’utilizzo delle attrezzature/apparecchiature eventualmente messe a disposizione;
• effettua idonea manutenzione delle attrezzature/apparecchiature/strumenti eventualmente forniti al
fine di garantire nel tempo la permanenza dei requisiti di sicurezza. Il lavoratore svolge la propria
prestazione cooperando con diligenza all’attuazione delle misure di prevenzione e protezione
predisposte dal datore di lavoro per fronteggiare i rischi connessi all'esecuzione della prestazione in
ambienti indoor e outdoor diversi da quelli aziendali. B. Contenuti minimi dell’informativa A titolo
esemplificativo si elencano di seguito i principali punti da sviluppare nell’informativa, a cura del
datore di lavoro, con eventuali allegati, per prestazioni di lavoro svolte in ambienti indoor: •
indicazioni circa la sicurezza antincendio (principi generali sull’incendio e utilizzo dei mezzi di
estinzione, comportamento in caso di incendio, atmosfere esplosive, ecc.); • indicazioni sui requisiti
igienici minimi dei locali (microclima, temperatura ed umidità dei locali, elementi di qualità dell’aria
con riferimento al ricambio d’aria e alla presenza di eventuali sorgenti di emissioni, impianti termici e
di condizionamento, ecc.); • efficienza ed integrità di strumenti/dispositivi e
attrezzature/apparecchiature prima dell’uso;
© 2017 AVIXA
Sicurezza, rischi e responsabilità
D. Lgs. 81/2008• utilizzo delle attrezzature di lavoro/apparecchiature (istruzioni d’uso); • comportamento da tenere in
caso di funzionamenti anomali e/o guasti delle attrezzature/apparecchiature utilizzate proprie e/o
ricevute; • requisiti minimi su impianti di alimentazione elettrica; • indicazioni sul corretto utilizzo
dell’impianto elettrico, (buono stato dei cavi elettrici di collegamento e loro posizionamento utilizzo
prese, sovraccarico, prevenzione incendi, ecc.); • caratteristiche minime relative alla ergonomia della
postazione dotata di videoterminale; • caratteristiche minime relative alla ergonomia nell’utilizzo di
computer portatili, tablet, ecc.. Nel caso in cui la prestazione di lavoro si svolge in ambienti outdoor
l’informativa deve prevedere anche i seguenti contenuti minimi: • indicazioni sulla pericolosità
dell’esposizione diretta alla radiazione
solare. • indicazioni sulla pericolosità dell’esposizione prolungata a condizioni meteoclimatiche
sfavorevoli (caldo o freddo intensi, elevata umidità). • limitazioni e eventuali accorgimenti da adottare
ove sia necessario svolgere attività in luoghi isolati o in cui sia difficoltoso richiedere e
ricevere soccorso. • pericoli connessi allo svolgimento di attività in aree con presenza di animali o
che non siano adeguatamente manutenute con riferimento alla vegetazione al degrado ambientale,
alla presenza di rifiuti, ecc.. • pericoli connessi allo svolgimento di attività in aree con presenza di
sostanze combustibili o infiammabili e sorgenti di ignizione • pericoli connessi allo svolgimento di
attività in aree in cui non ci sia la possibilità di approvvigionarsi di acqua potabile (…)”,
http://www.funzionepubblica.gov.it/lavoro-agile-linee-guida
© 2017 AVIXA
Sicurezza, rischi e responsabilità
D. Lgs. 81/2008
art. 19, comma 1, del D. Lgs.81/2017 c.d. diritto alla disconnessione.
Si prevede che l'accordo relativo alla modalità di lavoro agile oltre a precisare la disciplina
dell'esecuzione della prestazione lavorativa individui «i tempi di riposo del lavoratore nonché' le
misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle
strumentazioni tecnologiche di lavoro”.
c.d. rischio da tecnostress ovvero quella malattia professionale
«causata dall’uso continuativo e contemporaneo di apparecchi informatici e digitali, dalla gestione di
un flusso continuo di informazioni provenienti dalle tecnologie e dalla mancata ergonomia dei luoghi
e delle attività di lavoro. Il Tecnostress è ascrivibile alle ampie patologie di Stress lavoro-correlato”.
cfr. PUNTOSICURO, https://www.puntosicuro.it/sicurezza-sul-lavoro-C-1/ruoli-figure-C-7/lavoratori-C-73/tecnostress-lavoro-correlato-un-nuovo-questionario-AR-10386/
© 2017 AVIXA
Sicurezza, rischi e responsabilità
D. Lgs. 81/2008
- MONITORAGGIO
- DOCUMENTAZIONE
- FORMAZIONE
© 2017 AVIXA
Oggi parliamo di
Smart Working: il quadro normativo
Protezione dei dati personali e aziendali
Sicurezza, rischi e responsabilità
Minacce e cybersecurity
© 2017 AVIXA
Sicurezza, rischi e responsabilità
Trattamento illecito dei datiart. 167 bis del D. Lgs. n. 196/2003
“1. Salvo che il fatto costituisca piu' grave reato, chiunque comunica o diffonde al fine di trarre
profitto per se' o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte
sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in
violazione degli articoli 2-ter, 2-sexies e 2-octies, e' punito con la reclusione da uno a sei
anni. 2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine trarne profitto per se' o
altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio
automatizzato o una parte sostanziale di esso contenente dati personali oggetto di
trattamento su larga scala, e' punito con la reclusione da uno a sei anni, quando il consenso
dell'interessato e' richiesto per le operazioni di comunicazione e di diffusione. 3. Per i reati di
cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell'articolo 167”
art. 171, D. Lgs. n. 196/2003
“1. La violazione delle disposizioni di cui agli articoli 4, comma 1, e 8 della legge 20 maggio 1970,
n. 300, e' punita con le sanzioni di cui all'articolo 38 della medesima legge”.
© 2017 AVIXA
Sicurezza, rischi e responsabilità
Trattamento illecito dei datiArt. 4, Legge del 20/05/1970 - N. 300 - Impianti audiovisivi e altri strumenti di controllo.
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a
distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze
organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e
possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o
dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate
in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle
associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di
accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa
autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di
imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede
centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.
(…)
© 2017 AVIXA
Minacce e cybersecurity
Cyber-crimes e D.Lgs. 231/01
Si tende a credere che “ogni acquisto di potenza sia semplicemente progresso, accrescimento di
sicurezza, di utilità, di benessere, di forza vitale, di pienezza di valori” (Romano Guardini) come se la
realtà, il benessere e la verità sbocciassero spontaneamente dal potere stesso della tecnologia e
dell’economia. Il fatto è “che l’uomo moderno non è stato educato al retto uso della potenza”
(Romano Guardini), perché l’immensa crescita tecnologica non è stata accompagnata da uno
sviluppo dell’essere umano per quanto riguarda la responsabilità, i valori e la coscienza. Ogni epoca
tende a sviluppare una scarsa autocoscienza dei propri limiti. Per ciò è possibile che oggi l’umanità
non avverta la serietà delle sfide che le si presentano e “la possibilità dell’uomo di usare male della
sua potenza è in continuo aumento” quando “non esistono norme di libertà ma solo pretese
necessità di utilità e di sicurezza”(Romano Guardini)
(Papa Francesco - Laudato sii)
© 2017 AVIXA
Minacce e cybersecurity
Cyber-crimes e D.Lgs. 231/01
Decreto Legislativo 8 giugno 2001, n. 231
"Disciplina della responsabilita' amministrativa delle persone
giuridiche, delle societa' e delle associazioni anche prive di
personalita' giuridica, a norma dell'articolo 11 della legge 29
settembre 2000, n. 300
- Reati informatici
- Reati connessi a sicurezza sul lavoro
- Reati ambientali
- Altri reati specificamente «presupposti»
© 2017 AVIXA
Minacce e cybersecurity
Cyber-crimes e D.Lgs. 231/01
Art. 24 bis D. Lgs. 231/2001, “Delitti informatici e trattamento illecito di dati
1.In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-
bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all'ente la sanzione pecuniaria
da cento a cinquecento quote.
2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice
penale, si applica all’ente la sanzione pecuniaria sino a trecento quote.
3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice
penale, salvo quanto previsto dall'articolo 24 del presente decreto per i casi di frode informatica in
danno dello Stato o di altro ente pubblico, e dei delitti di cui all'articolo 1, comma 11, del decreto-
legge 21 settembre 2019, n. 105, si applica all'ente la sanzione pecuniaria sino a quattrocento quote.
(…)”
© 2017 AVIXA
Minacce e cybersecurity
Cyber-crimes e D.Lgs. 231/01
Falsità in documenti informatici (art. 491-bis cod. pen.)
Accesso abusivo ad un sistema informatico o telematico (art. 615-ter cod. pen.)
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-
quater cod. pen.)
Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o
interrompere un sistema informatico o telematico (art. 615-quinquies cod. pen.)
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art.
617-quater cod. pen.)
Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
informatiche o telematiche (art. 617-quinquies cod. pen.)
© 2017 AVIXA
Minacce e cybersecurity
Cyber-crimes e D.Lgs. 231/01
Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis cod. pen.)
Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente
pubblico o comunque di pubblica utilità (art. 635-ter cod. pen.)
Danneggiamento di sistemi informatici o telematici (art. 635-quater cod. pen.) .
Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies cod. pen.)
Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art.640-
quinquies c.p.)
© 2017 AVIXA
Minacce e cybersecurity
Cyber-crimes e D.Lgs. 231/01POSSIBILI DIVIETI (tratti da un MOG di una importante multinazionale)
1) connettere ai sistemi informatici di aziendali, personal computer, periferiche e altre apparecchiature o installare software
senza preventiva autorizzazione;
2) modificare la configurazione software e/o hardware di postazioni di lavoro fisse o mobili se non previsto da una regola
aziendale ovvero, in diversa ipotesi, se non previa espressa e debita autorizzazione;
3) acquisire, possedere o utilizzare strumenti software e/o hardware – se non per casi debitamente autorizzati ovvero in ipotesi
in cui tali software e/o hardware siano utilizzati per il monitoraggio della sicurezza dei sistemi informativi aziendali – che
potrebbero essere adoperati abusivamente per valutare o compromettere la sicurezza di sistemi informatici o telematici (sistemi
per individuare le Credenziali, identificare le vulnerabilità, decifrare i file criptati, intercettare il traffico in transito, etc.);
4) ottenere Credenziali di accesso a sistemi informatici o telematici aziendali, dei clienti o di terze parti, con metodi o procedure
differenti da quelle per tali scopi autorizzate dall’azienda;
5) divulgare, cedere o condividere con personale interno o esterno a credenziali di accesso ai sistemi e alla rete aziendale, di
clienti o terze parti;
6) accedere abusivamente ad un sistema informatico altrui nonché accedervi al fine di manomettere o alterare abusivamente
qualsiasi dato ivi contenuto;
© 2017 AVIXA
Minacce e cybersecurity
Cyber-crimes e D.Lgs. 231/01
7) manomettere, sottrarre o distruggere il patrimonio informatico aziendale, di clienti o di terze parti, comprensivo di archivi, dati
e programmi;
8) sfruttare eventuali vulnerabilità o inadeguatezze nelle misure di sicurezza dei sistemi informatici o telematici aziendali o di
terze parti, per ottenere l’accesso a risorse o informazioni diverse da quelle cui si è autorizzati ad accedere, anche nel caso in cui
tale intrusione non provochi un danneggiamento a dati, programmi o sistemi;
9) acquisire e/o utilizzare prodotti tutelati da diritto d'autore in violazione delle tutele contrattuali previste per i diritti di proprietà
intellettuale altrui;
10) comunicare a persone non autorizzate i controlli implementati sui sistemi informativi e le modalità con cui sono utilizzati;
11) mascherare, oscurare o sostituire la propria identità e inviare e-mail riportanti false generalità o inviare intenzionalmente e-
mail contenenti Virus o altri programmi in grado di danneggiare o intercettare dati;
12) lo Spamming come pure ogni azione di risposta al medesimo;
13) inviare attraverso un sistema informatico aziendale informazioni o dati falsificati o, in qualunque modo, alterati.
© 2017 AVIXA
Minacce e cybersecurity
Cyber-crimes e D.Lgs. 231/01
- MONITORAGGIO
- DOCUMENTAZIONE
- FORMAZIONE
© 2017 AVIXA34
Domande
Commenti
Proposte
© 2017 AVIXA
GRAZIE PER
L’ATTENZIONEAvv. Manuela Monti
Avv. Massimo Davi
Redrim s.c.smartworking.redrim.it