La minaccia nascosta...Sicurezza, rischi e responsabilità D. Lgs. 81/2008 •nel caso in cui non...

© 2017 AVIXA

La minaccia nascostaAutonomi ma in regola

Avv. Manuela Monti

Avv. Massimo Davi

Redrim s.c.smartworking.redrim.it

© 2017 AVIXA

Oggi parliamo di

Smart Working: il quadro normativo

Protezione dei dati personali e aziendali

Sicurezza, rischi e responsabilità

Minacce e cybersecurity

© 2017 AVIXA

Smart Working o Lavoro agile: il quadro normativo

Definizione

E’ una modalità di esecuzione del rapporto

di lavoro subordinato a distanza, flessibile

non soggetta a precisi vincoli di orario ( nei limiti di

durata massima dell’orario giornaliero) e di luogo di

lavoro (locali aziendali ed esterni)

con prevalente uso di strumenti tecnologici

più autonomia nelle modalità organizzative

più responsabilizzazione su obiettivi

© 2017 AVIXA

Smart Working : il quadro normativo

Il lavoro agile e la legge 81/2017

Fine: incrementare la competitività e agevolare la

conciliazione dei tempi di vita e di lavoro.

Il datore di lavoro è responsabile della sicurezza e

del buon funzionamento degli strumenti

tecnologici.

Presupposto: accordo scritto tra datore di lavoro

e lavoratore.

© 2017 AVIXA



Elementi essenziali dell’accordo:

modalità di esecuzione prestazione lavorativa (incluse

modalità potere direttivo datoriale e strumenti lavoratore)

tempi di riposo e misure per assicurare disconnessione

durata - tempo determinato o indeterminato - e preavviso

esercizio del potere di controllo datoriale e disciplinare

© 2017 AVIXA



Trattamento normativo ed economico non inferiore

a quello dei lavoratori con mansioni analoghe in

azienda.

Disciplina del rapporto può rinviare a quanto

previsto nella contrattazione collettiva.

© 2017 AVIXA

Smart Working : emergenza COVID e norme

Lavoro agile e normativa fase emergenziale

DPCM 1 marzo 2020

DPCM 8 marzo 2020

DPCM 11 marzo 2020

D.L. 18/ 2020 cd. Decreto Cura Italia

convertito con Legge 24 aprile 2020 n. 27

Decreto Legge Rilancio?

© 2017 AVIXA


Lavoro agile in fase emergenziale caratteristiche

Fine: tutelare la salute dei lavoratori garantendo la

continuità produttiva nella situazione

emergenziale.

Presupposto: il datore di lavoro ha la facoltà di

convertire, con provvedimento unilaterale

temporaneo, la modalità ordinaria di esecuzione

della prestazione di lavoro in modalità agile e di

determinarne le forme organizzative.

© 2017 AVIXA


Lavoro agile in fase emergenziale caratteristiche

Non è necessario presupposto della

consensualità né l’accordo scritto con il

lavoratore per la regolarità amministrativa e ai fini

della prova.

Lavoro agile della fase emergenziale non si

identifica integralmente con lo smartworking

ordinario di cui alla Legge 81/2017.

© 2017 AVIXA


Diritti e doveri del lavoratore

divieto di controllo a distanza dei lavoratori

mediante software o altri strumenti, anche nel

rispetto dell’art. 4 dello Statuto dei lavoratori

diritto alla disconnessione

diritto alla formazione

obbligo di cooperazione nell’attuazione misure

prevenzione

obbligo di custodire con diligenza devices

aziendali

responsabilità riservatezza dei dati

© 2017 AVIXA

Oggi parliamo di





© 2017 AVIXA


Informative e regolamenti aziendali

lettera di assegnazione dei devices aziendali

regolamento aziendale con istruzioni e regole di utilizzo dei

sistemi informatici e dei devices aziendali

informativa relativa ai possibili controlli a distanza sul

lavoratore nel rispetto dell’art 4 L. 300/1970 (Statuto dei

lavoratori)

© 2017 AVIXA


Privacy e riservatezza

informativa riguardante tutti i trattamenti dei dati del lavoratore aisensi dell’art 13 del GDPR

autorizzazione ai dipendenti al trattamento di dati fuori dai localiaziendali e le relative istruzioni tecniche e organizzative pergarantire la sicurezza dei dati

accordo di riservatezza con il dipendente per tutelare datiaziendali

formazione adeguata per dipendenti e certificazione

© 2017 AVIXA


Privacy e riservatezza

misure di sicurezza rese obbligatorie dalla normativa in

tema di protezione dei dati personali (es. crittografia)

in caso di uso di dispositivi personali, valutazione rischi e

adozione di misure idonee a garantire protezione dati

regolamentazione BYOD (bring your own device)

responsabilità del titolare del trattamento in caso di

trattamento di dati personali: accountability e onere della

prova

© 2017 AVIXA

Oggi parliamo di





© 2017 AVIXA


D. Lgs. 81/2008

Art. 2087 Codice civile

L'imprenditore è tenuto ad adottare nell'esercizio dell'impresa le misure

che, secondo la particolarità del lavoro, l'esperienza e la tecnica, sono

necessarie a tutelare l'integrità fisica e la personalità morale dei

prestatori di lavoro [Cost. 37, 41].

https://www.brocardi.it/dizionario/2437.html

https://www.brocardi.it/dizionario/3071.html

https://www.brocardi.it/costituzione/parte-i/titolo-iii/art37.html

https://www.brocardi.it/costituzione/parte-i/titolo-iii/art41.html

© 2017 AVIXA


D. Lgs. 81/2008

art. 22, L. n. 81/2017 “Sicurezza sul lavoro 1. Il datore di lavoro garantisce la salute e la

sicurezza del lavoratore che svolge la prestazione in modalita' di lavoro agile e a tal fine

consegna al lavoratore e al rappresentante dei lavoratori per la sicurezza, con cadenza

almeno annuale, un'informativa scritta nella quale sono individuati i rischi generali e i rischi

specifici connessi alla particolare modalita' di esecuzione del rapporto di lavoro. 2. Il

lavoratore e' tenuto a cooperare all'attuazione delle misure di prevenzione predisposte dal

datore di lavoro per fronteggiare i rischi connessi all'esecuzione della prestazione all'esterno

dei locali aziendali”.

CIRCOLARE INAIL N. 48/2017, “Per quanto concerne gli aspetti peculiari del lavoro agile, gli infortuni

occorsi mentre il lavoratore presta la propria attivita lavorativa all’esterno dei locali aziendali e nel

luogo prescelto dal lavoratore stesso sono tutelati se causati da un rischio connesso con la

prestazione lavorativa. (…) Il lavoratore “agile” e tutelato non solo per gli infortuni collegati al rischio

proprio della sua attivita lavorativa, ma anche per quelli connessi alle attivita prodromiche e/o

accessorie purche strumentali allo svolgimento delle mansioni proprie del suo profilo

professionale”,https://www.inail.it/cs/internet/atti-e-documenti/note-e provvedimenti/circolari/circolare-n-48-del-2-novembre-2017.html

© 2017 AVIXA


D. Lgs. 81/2008

PRESIDENZA DEL CONSIGLIO DEI MINISTRI N. 3/2017, “(…) A garanzia della salute e sicurezza del

lavoratore, che svolge la prestazione in modalità di lavoro agile, il datore di lavoro: • consegna al

lavoratore e al RLS prima dell’avvio della prestazione di lavoro agile, con cadenza almeno annuale

(e/o ad ogni variazione significativa delle condizioni lavorative e di rischio connesse in particolare

con il cambio di mansione) l’informativa dove sono individuati i rischi generali e specifici relativi alla

prestazione da svolgere e le misure da

adottare; • somministra adeguata formazione periodica, in merito ai requisiti di salute e sicurezza,

qualora non ricompresa in quella prevista dal d.lgs 81/2008, circa il corretto svolgimento della

prestazione di lavoro agile in ambienti indoor e outdoor; • nel caso in cui fornisca gli

strumenti/dispositivi informatici/telematici, si assicura che essi siano conformi normativamente a

standard tecnici; • nel caso in cui fornisca le attrezzature di lavoro/apparecchiature, si assicura che

esse siano conformi al Titolo III del d.lgs. 81/2008 nonché alle specifiche disposizioni legislative e

regolamentari di recepimento delle Direttive comunitarie di prodotto; • nel caso in cui fornisca

apparecchiature elettriche/elettroniche, predilige quelle a doppio isolamento;

© 2017 AVIXA


D. Lgs. 81/2008

• nel caso in cui non fornisca gli strumenti, le attrezzature o i dispositivi di cui sopra, attua comunque

le misure di tutela di cui all’articolo 15 del d.lgs. 81/2008; • somministra adeguata formazione e

informazione circa l’utilizzo delle attrezzature/apparecchiature eventualmente messe a disposizione;

• effettua idonea manutenzione delle attrezzature/apparecchiature/strumenti eventualmente forniti al

fine di garantire nel tempo la permanenza dei requisiti di sicurezza. Il lavoratore svolge la propria

prestazione cooperando con diligenza all’attuazione delle misure di prevenzione e protezione

predisposte dal datore di lavoro per fronteggiare i rischi connessi all'esecuzione della prestazione in

ambienti indoor e outdoor diversi da quelli aziendali. B. Contenuti minimi dell’informativa A titolo

esemplificativo si elencano di seguito i principali punti da sviluppare nell’informativa, a cura del

datore di lavoro, con eventuali allegati, per prestazioni di lavoro svolte in ambienti indoor: •

indicazioni circa la sicurezza antincendio (principi generali sull’incendio e utilizzo dei mezzi di

estinzione, comportamento in caso di incendio, atmosfere esplosive, ecc.); • indicazioni sui requisiti

igienici minimi dei locali (microclima, temperatura ed umidità dei locali, elementi di qualità dell’aria

con riferimento al ricambio d’aria e alla presenza di eventuali sorgenti di emissioni, impianti termici e

di condizionamento, ecc.); • efficienza ed integrità di strumenti/dispositivi e

attrezzature/apparecchiature prima dell’uso;

© 2017 AVIXA


D. Lgs. 81/2008• utilizzo delle attrezzature di lavoro/apparecchiature (istruzioni d’uso); • comportamento da tenere in

caso di funzionamenti anomali e/o guasti delle attrezzature/apparecchiature utilizzate proprie e/o

ricevute; • requisiti minimi su impianti di alimentazione elettrica; • indicazioni sul corretto utilizzo

dell’impianto elettrico, (buono stato dei cavi elettrici di collegamento e loro posizionamento utilizzo

prese, sovraccarico, prevenzione incendi, ecc.); • caratteristiche minime relative alla ergonomia della

postazione dotata di videoterminale; • caratteristiche minime relative alla ergonomia nell’utilizzo di

computer portatili, tablet, ecc.. Nel caso in cui la prestazione di lavoro si svolge in ambienti outdoor

l’informativa deve prevedere anche i seguenti contenuti minimi: • indicazioni sulla pericolosità

dell’esposizione diretta alla radiazione

solare. • indicazioni sulla pericolosità dell’esposizione prolungata a condizioni meteoclimatiche

sfavorevoli (caldo o freddo intensi, elevata umidità). • limitazioni e eventuali accorgimenti da adottare

ove sia necessario svolgere attività in luoghi isolati o in cui sia difficoltoso richiedere e

ricevere soccorso. • pericoli connessi allo svolgimento di attività in aree con presenza di animali o

che non siano adeguatamente manutenute con riferimento alla vegetazione al degrado ambientale,

alla presenza di rifiuti, ecc.. • pericoli connessi allo svolgimento di attività in aree con presenza di

sostanze combustibili o infiammabili e sorgenti di ignizione • pericoli connessi allo svolgimento di

attività in aree in cui non ci sia la possibilità di approvvigionarsi di acqua potabile (…)”,

http://www.funzionepubblica.gov.it/lavoro-agile-linee-guida

© 2017 AVIXA


D. Lgs. 81/2008

art. 19, comma 1, del D. Lgs.81/2017 c.d. diritto alla disconnessione.

Si prevede che l'accordo relativo alla modalità di lavoro agile oltre a precisare la disciplina

dell'esecuzione della prestazione lavorativa individui «i tempi di riposo del lavoratore nonché' le

misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle

strumentazioni tecnologiche di lavoro”.

c.d. rischio da tecnostress ovvero quella malattia professionale

«causata dall’uso continuativo e contemporaneo di apparecchi informatici e digitali, dalla gestione di

un flusso continuo di informazioni provenienti dalle tecnologie e dalla mancata ergonomia dei luoghi

e delle attività di lavoro. Il Tecnostress è ascrivibile alle ampie patologie di Stress lavoro-correlato”.

cfr. PUNTOSICURO, https://www.puntosicuro.it/sicurezza-sul-lavoro-C-1/ruoli-figure-C-7/lavoratori-C-73/tecnostress-lavoro-correlato-un-nuovo-questionario-AR-10386/

© 2017 AVIXA


D. Lgs. 81/2008

- MONITORAGGIO

- DOCUMENTAZIONE

- FORMAZIONE

© 2017 AVIXA

Oggi parliamo di





© 2017 AVIXA


Trattamento illecito dei datiart. 167 bis del D. Lgs. n. 196/2003

“1. Salvo che il fatto costituisca piu' grave reato, chiunque comunica o diffonde al fine di trarre

profitto per se' o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte

sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in

violazione degli articoli 2-ter, 2-sexies e 2-octies, e' punito con la reclusione da uno a sei

anni. 2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine trarne profitto per se' o

altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio

automatizzato o una parte sostanziale di esso contenente dati personali oggetto di

trattamento su larga scala, e' punito con la reclusione da uno a sei anni, quando il consenso

dell'interessato e' richiesto per le operazioni di comunicazione e di diffusione. 3. Per i reati di

cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell'articolo 167”

art. 171, D. Lgs. n. 196/2003

“1. La violazione delle disposizioni di cui agli articoli 4, comma 1, e 8 della legge 20 maggio 1970,

n. 300, e' punita con le sanzioni di cui all'articolo 38 della medesima legge”.

© 2017 AVIXA


Trattamento illecito dei datiArt. 4, Legge del 20/05/1970 - N. 300 - Impianti audiovisivi e altri strumenti di controllo.

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a

distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze

organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e

possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o

dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate

in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle

associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di

accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa

autorizzazione delle sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di

imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede

centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.

(…)

© 2017 AVIXA


Cyber-crimes e D.Lgs. 231/01

Si tende a credere che “ogni acquisto di potenza sia semplicemente progresso, accrescimento di

sicurezza, di utilità, di benessere, di forza vitale, di pienezza di valori” (Romano Guardini) come se la

realtà, il benessere e la verità sbocciassero spontaneamente dal potere stesso della tecnologia e

dell’economia. Il fatto è “che l’uomo moderno non è stato educato al retto uso della potenza”

(Romano Guardini), perché l’immensa crescita tecnologica non è stata accompagnata da uno

sviluppo dell’essere umano per quanto riguarda la responsabilità, i valori e la coscienza. Ogni epoca

tende a sviluppare una scarsa autocoscienza dei propri limiti. Per ciò è possibile che oggi l’umanità

non avverta la serietà delle sfide che le si presentano e “la possibilità dell’uomo di usare male della

sua potenza è in continuo aumento” quando “non esistono norme di libertà ma solo pretese

necessità di utilità e di sicurezza”(Romano Guardini)

(Papa Francesco - Laudato sii)

© 2017 AVIXA



Decreto Legislativo 8 giugno 2001, n. 231

"Disciplina della responsabilita' amministrativa delle persone

giuridiche, delle societa' e delle associazioni anche prive di

personalita' giuridica, a norma dell'articolo 11 della legge 29

settembre 2000, n. 300

- Reati informatici

- Reati connessi a sicurezza sul lavoro

- Reati ambientali

- Altri reati specificamente «presupposti»

© 2017 AVIXA



Art. 24 bis D. Lgs. 231/2001, “Delitti informatici e trattamento illecito di dati

1.In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-

bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all'ente la sanzione pecuniaria

da cento a cinquecento quote.

2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice

penale, si applica all’ente la sanzione pecuniaria sino a trecento quote.

3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice

penale, salvo quanto previsto dall'articolo 24 del presente decreto per i casi di frode informatica in

danno dello Stato o di altro ente pubblico, e dei delitti di cui all'articolo 1, comma 11, del decreto-

legge 21 settembre 2019, n. 105, si applica all'ente la sanzione pecuniaria sino a quattrocento quote.

(…)”

© 2017 AVIXA



Falsità in documenti informatici (art. 491-bis cod. pen.)

Accesso abusivo ad un sistema informatico o telematico (art. 615-ter cod. pen.)

Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-

quater cod. pen.)

Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o

interrompere un sistema informatico o telematico (art. 615-quinquies cod. pen.)

Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art.

617-quater cod. pen.)

Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni

informatiche o telematiche (art. 617-quinquies cod. pen.)

© 2017 AVIXA



Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis cod. pen.)

Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente

pubblico o comunque di pubblica utilità (art. 635-ter cod. pen.)

Danneggiamento di sistemi informatici o telematici (art. 635-quater cod. pen.) .

Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies cod. pen.)

Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art.640-

quinquies c.p.)

© 2017 AVIXA


Cyber-crimes e D.Lgs. 231/01POSSIBILI DIVIETI (tratti da un MOG di una importante multinazionale)

1) connettere ai sistemi informatici di aziendali, personal computer, periferiche e altre apparecchiature o installare software

senza preventiva autorizzazione;

2) modificare la configurazione software e/o hardware di postazioni di lavoro fisse o mobili se non previsto da una regola

aziendale ovvero, in diversa ipotesi, se non previa espressa e debita autorizzazione;

3) acquisire, possedere o utilizzare strumenti software e/o hardware – se non per casi debitamente autorizzati ovvero in ipotesi

in cui tali software e/o hardware siano utilizzati per il monitoraggio della sicurezza dei sistemi informativi aziendali – che

potrebbero essere adoperati abusivamente per valutare o compromettere la sicurezza di sistemi informatici o telematici (sistemi

per individuare le Credenziali, identificare le vulnerabilità, decifrare i file criptati, intercettare il traffico in transito, etc.);

4) ottenere Credenziali di accesso a sistemi informatici o telematici aziendali, dei clienti o di terze parti, con metodi o procedure

differenti da quelle per tali scopi autorizzate dall’azienda;

5) divulgare, cedere o condividere con personale interno o esterno a credenziali di accesso ai sistemi e alla rete aziendale, di

clienti o terze parti;

6) accedere abusivamente ad un sistema informatico altrui nonché accedervi al fine di manomettere o alterare abusivamente

qualsiasi dato ivi contenuto;

© 2017 AVIXA



7) manomettere, sottrarre o distruggere il patrimonio informatico aziendale, di clienti o di terze parti, comprensivo di archivi, dati

e programmi;

8) sfruttare eventuali vulnerabilità o inadeguatezze nelle misure di sicurezza dei sistemi informatici o telematici aziendali o di

terze parti, per ottenere l’accesso a risorse o informazioni diverse da quelle cui si è autorizzati ad accedere, anche nel caso in cui

tale intrusione non provochi un danneggiamento a dati, programmi o sistemi;

9) acquisire e/o utilizzare prodotti tutelati da diritto d'autore in violazione delle tutele contrattuali previste per i diritti di proprietà

intellettuale altrui;

10) comunicare a persone non autorizzate i controlli implementati sui sistemi informativi e le modalità con cui sono utilizzati;

11) mascherare, oscurare o sostituire la propria identità e inviare e-mail riportanti false generalità o inviare intenzionalmente e-

mail contenenti Virus o altri programmi in grado di danneggiare o intercettare dati;

12) lo Spamming come pure ogni azione di risposta al medesimo;

13) inviare attraverso un sistema informatico aziendale informazioni o dati falsificati o, in qualunque modo, alterati.

La minaccia nascosta...Sicurezza, rischi e responsabilità D. Lgs. 81/2008 •nel caso in cui non...

Documents

Transcript of La minaccia nascosta...Sicurezza, rischi e responsabilità D. Lgs. 81/2008 •nel caso in cui non...