Induce a riflettere sulla generalità del problema la minuziosa descrizione delle ultime e avanzatissime funzionalità implementate sulla release 6.4 di Kerio Star, prodotto di punta della casa specializzata in software di sicurezza, tra cui l'arcinoto WinRoute Firewall; ma tra i prodotti software del genere più o meno sofisticati non si ha che l'imbarazzo della scelta, a iniziare dai vecchi ma sempre validi keylogger.

Tra le specifiche appaiono infatti la possibilità di riferire il report per fascia oraria e a ogni singolo utente; il report è comprensivo di ogni connessione di accesso remoto con i siti visitati, il tempo impiegato, le interrogazioni fatte sui motori di ricerca, l'ascolto eventuale di web radio, tutti i file scaricati e via di questo passo.

I responsabili di sistema potranno consultare e stampare il report e le statistiche ovviamente saranno protette da password in modo da poter essere consultate soltanto dagli aventi diritto. Tutto bene, verrebbe da dire: il sogno di ogni sysop fatto programma; invece no, almeno a nostro parere.

In verità il problema della sicurezza attiene un duplice aspetto che può essere grossolanamente riassunto; da un lato il rispetto di alcuni diritti personali e inalienabili garantiti dalla Costituzione, dall'altro il diritto alla tutela del patrimonio aziendale e del rapporto fiduciario che lega dipendente e il datore di lavoro. E ciò sia per quanto riguarda specificamente la posta elettronica che ogni altro aspetto legato ai vari protocolli Internet.

Nella recente sentenza della IIIa Sez. Penale della Cassazione (N. 8042 del 27 febbraio 07) viene tra le altre cose stabilito il principio che commette reato il datore di lavoro che installa "impianti audiovisivi richiesti dalle esigenze produttive" per il controllo a distanza dei dipendenti senza accordo con i sindacati; mentre non sussiste il reato se le installazioni servono a "tutelare il patrimonio aziendale contro atti illeciti" posti in essere dai dipendenti o da terzi.

Non c'è chi non veda quanto la distinzione tra "esigenze produttive" e "conservazione del patrimonio aziendale" sia incerta e opinabile, anche perché la prestazione lavorativa fa certamente parte del patrimonio su cui conta l'imprenditore; se così non fosse, non si comprenderebbero le convalide dei licenziamenti intervenuti per l'infedeltà del dipendente.

Fortunatamente a dirimere il contrasto tra le esigenze produttive e quelle del rispetto dei diritti alla riservatezza è intervenuto il Garante con il decreto legislativo 196/2003, mediando tra le varie norme e discipline del settore e definendo un'accettabile metodo di condotta per le parti interessate.

Innanzi tutto il Garante ha vietato sia per i dipendenti pubblici sia per quelli privati il trattamento dei dati raccolti con ogni mezzo di controllo a distanza, esclusa la lettura e registrazione delle email e delle attività connesse al servizio, quando si tratti di corrispondenza aziendale o istituzionale.

Per quanto attiene invece i cosiddetti "controlli indiretti" occorre che le modalità dei medesimi siano comunicate al lavoratore e alle Rsu quando esistano; in caso di mancato accordo tra le parti, dovrà essere investito della questione l'Ispettorato del Lavoro competente per territorio, restando salva ovviamente la via contenziosa sia amministrativa che giudiziaria ordinaria.

In particolare per la navigazione sul web dovrà essere il titolare dell'azienda a stabilire preventivamente quali servizi siano accessibili e quali no tramite le macchine aziendali; per le caselle personali di posta elettronica su mailserver della struttura, dovrà essere adottata un'apposita "policy" portata a conoscenza del lavoratore, delle rappresentanze sindacali ed eventualmente anche dei terzi corrispondenti mediante un esplicito avviso sul fatto che i contenuti potrebbero essere soggetti a ispezione diversa da quella del destinatario.

Viene comunque stabilito per la prima volta un principio importantissimo e cioè che in ogni caso i controlli devono essere effettuati con gradualità, partendo dall'esame dei vari team lavorativi per verificare se e in quali aree siano necessari i controlli prima di estendere gli stessi alle persone; insomma dovranno essere rispettati i principi di "pertinenza e non eccedenza".

Suggerimenti vengono inoltre esplicitati del Garante per quanto riguarda ad esempio l'individuazione di un "fiduciario" che riceva la posta in caso di assenza del destinatario come anche nell'individuazione dei designati ai controlli e della esplicitazione delle relative modalità.

Tutte norme che, se applicate coscienziosamente se anche non alla lettera renderebbero inutili e obsoleti tutti i software di controllo, se non nei casi in cui sia stata presentata una denunzia contro ignoti per reati perseguibili penalmente; è da sperare tuttavia che, nell'ambito dei paletti finalmente posti dal Garante, le esigenze dell'impresa e le garanzie dei dipendenti possano convivere pacificamente e -perché no?- con soddisfazione di tutti nel rispetto dei diritti e dei doveri reciproci.