Privacy e Log di accesso (SARG)

[WebWolf]

Salve a tutti, ho una questione delicata, che sarebbe più adatta ad un forum di Diritto Civile, ma essendo anche una questione legata ad internet e a Sarg (lo squid log analyser) mi permetto di porvela in cerca di aiuto.

La domanda è semplice: si puo' installare un programma come SARG (che controlla i siti navigati dai client di rete) oppure si compie un atto illegale contro i lavoratori?

La 196/03 (la legge sulla privacy per intenderci) cita: "... divieto di utilizzo da parte del datore di lavoro di apparecchiature atte al controllo a distanza dell'attività del lavoratore, salvo che esigenze organizzative, produttive o di sicurezza non abbiano determinato, previo accordo con le rappresentanze sindacali, la lecita introduzione nell'ente (o azienda) ..."

Ora, se un dipendente invece di lavorare naviga ore in siti discutibili, oppure (!!!) gioca a Ogame per tutta la mattina, come fa il datore di lavoro a

1) Dimostrare questo comportamento;

2) Prendere provvedimenti ?

se non ha qualcosa di scritto che certifichi l'uso illecito di Internet da parte del dipendente?

Per la cronaca userei SARG su SQUID su una SuSE 9.2. (Squid funziona già, devo solo rpmmizzare sarg, che dovrebbe crearmi un report in html).

Thks

[pinok]

Perché invece non ci metti un firewall per limitare a priori la libertà di movimento, ovvero consentire solo la posta più determinati siti ?

Credo che comunque, in base a quanto citi della 196/03, basterebbe prendere accordi con le rappresentanze sindacali e avvisare i dipendenti di quello che intendete fare. Credo però che al massimo vi sia consentito vedere gli estremi della connessione (da dove, per dove e la durata). Vederne il contenuto a priori, "perché non si sa mai....", potrebbe esporvi maggiormente.

Ovvio che, in ogni caso, non è che dovete abusare dei dati raccolti (ovvero andare a vedere che siti uno visita, solo per il piacere di saperlo e poi raccontarlo ai 4 venti davanti alla macchinetta del caffè ).

Ma mettiamo caso che uno si metta sulla pagina dell'ansa o di un sito che automaticamente ha il reload della pagina, per essere aggiornato di cosa accade buttando un occhio allo schermo di tanto in tanto, mentre per il resto fa seriamente e profiquamente il suo lavoro: gli contesterete mica che è stato tutto il giorno a leggere il giornale ??


IMHO

[HexDEF6]

Io invece sono per la liberta' di navigazione anche per i dipendenti...
del resto se uno e' bravo e produce parecchio pur passando 4 ore al giorno su ogame... perche' toglierlo?
Se invece uno non produce un tubo, anche se gli togli internet non e' che combini qualcosa di piu'!

Comunque tutto questo e' IHMO...

[Nockmaar]

Dubito che sia illegale, nelle grandi aziende e' prassi comune mettere un proxy con content filter ( tipo Privoxy, tanto per citarne uno free ), che blocca accesso a parecchi siti, dai contenuti piu' disparati.

Ovviamente ogni tentativo di accesso e' loggato e relativo all' utenza che ha fatto richiesta per quel sito.

Tutto questo e' assolutamente imho, visto che non ho alcuna nozione di diritto civile.

[ilsensine]

Credo che si può applicare il principio che regola il controllo delle mail. Il controllo è ammesso purché il lavoratore ne sia informato.

Quote:

La 196/03 (la legge sulla privacy per intenderci) cita: "... divieto di utilizzo da parte del datore di lavoro di apparecchiature atte al controllo a distanza dell'attività del lavoratore, salvo che esigenze organizzative, produttive o di sicurezza non abbiano determinato, previo accordo con le rappresentanze sindacali, la lecita introduzione nell'ente (o azienda) ..."

Qui sono applicabili le esigenze di produttività e di sicurezza (ci sono sempre i furbi che cercano materiale illegale). Non credo che abbiate l'intenzione di bloccare chi si prende qualche minuto di riposo per navigare, quindi i sindacati non porranno obiezioni se la misura è adottata solo per prevenire l'uso indiscriminato di internet. Parlatene con loro.

[WebWolf]

Il controllo delle mail è assolutamente impossibile, poichè rientrano nella 'corrispondenza' e devono essere trattate alla stregua di una lettera in busta.

Bloccare la navigazione non è possibile perchè internet è necessario al funzionamento dell'ente.

Ci siamo informati con le rappresentanze sindacali ed hanno detto che è lecito monitorare il tempo di attività ma non i dati.

In pratica possiamo vedere quanto tempo il browser resta online, ma non che siti vengono visitati.

Il problema è che un ufficio che deve inviare dati ad una banca resta connesso anche tutto il giorno. Che fai?

Per quanto riguarda la produttività ... tranquillo che chi gioca o Ogame o si prenota i week-end su lastminute non rende nulla! Non rende anche senza internet.


Ora proveremo ad informare i dipendenti su questa eventualità e vediamo che cosa scoppia.

Grazie a tutti.

[Nockmaar]

Quote:

Originariamente inviato da WebWolf

Il controllo delle mail è assolutamente impossibile, poichè rientrano nella 'corrispondenza' e devono essere trattate alla stregua di una lettera in busta.

Bloccare la navigazione non è possibile perchè internet è necessario al funzionamento dell'ente.

Ci siamo informati con le rappresentanze sindacali ed hanno detto che è lecito monitorare il tempo di attività ma non i dati.

In pratica possiamo vedere quanto tempo il browser resta online, ma non che siti vengono visitati.

Il problema è che un ufficio che deve inviare dati ad una banca resta connesso anche tutto il giorno. Che fai?

Per quanto riguarda la produttività ... tranquillo che chi gioca o Ogame o si prenota i week-end su lastminute non rende nulla! Non rende anche senza internet.


Ora proveremo ad informare i dipendenti su questa eventualità e vediamo che cosa scoppia.

Grazie a tutti.

Blocca semplicemente i contenuti che potrebbero distrarre i dipendenti.
Ti faccio qualche esempio di quelli bloccati qui, "Sex, Games, Crime/Skills, Entertainment, Online Sales, Online Gambling, Mature" e molti altri che ora non mi vengono in mente.

In questo modo non inibisci la navigazione in Internet, ma ne tagli fuori una parte, meglio di niente...

[ilsensine]

Quote:

Originariamente inviato da WebWolf

Il controllo delle mail è assolutamente impossibile, poichè rientrano nella 'corrispondenza' e devono essere trattate alla stregua di una lettera in busta.

Mi risulta invece che sia possibile, con l'unico obbligo di avvertire i dipendenti che le mail sono controllate.
La privacy è rispettata in quanto le mail personali possono (e forse dovrebbero) essere consultate a casa, non tramite gli strumenti dell'ufficio.

[pinok]

Quote:

Originariamente inviato da ilsensine

Mi risulta invece che sia possibile, con l'unico obbligo di avvertire i dipendenti che le mail sono controllate.
La privacy è rispettata in quanto le mail personali possono (e forse dovrebbero) essere consultate a casa, non tramite gli strumenti dell'ufficio.

Mi pare di avere letto qualcosa che confermi quanto dice ilsensine, ovviamente informando gli utenti.
Se poi questi vogliono proteggersi, usino PGP.
Il che vale soprattutto per la corrispondenza fatta utilizzando l'indirizzo @miaAzienda.it, perché non si tratterebbe di corrispondenza strettamente personale ma connessa all'attività svolta.

Però, facendo l'avvocato del diavolo, a mio avviso si rischia comunque di avere dei problemi. Infatti, ammesso che il dipendente sia stato avvisato che la sua posta è monitorata, chi tutela il mittente?

Leggere la corrispondenza viola la privacy di 2 persone, destinatario e mittente. Avvisarne solo una credo non sia sufficiente. Pensate cosa succederebbe se l'amministratore di rete è sposato con una dipendente e io, esterno alla ditta, le scrivo sull'indirizzo dell'azienda (perché sono sicuro che lo consulti in tempo reale) per darle appuntamento mezz'ora dopo l'uscita?
Lei sa che è intercettata e né si presenta, né mi avverte (perché intercettata) e io all'uscita mi incontro con suo marito !

[Nockmaar]

Quote:

Originariamente inviato da pinok

[cut]

Solitamente nelle aziende, a fine email, si inserisce un disclaimer tipo questo, proprio per tutelarsi nei confronti di terze parti che non siano dipendenti.

Quote:

Originariamente inviato da .

**************************************************************************************
Questa e-mail, ed i suoi eventuali allegati, contengono informazioni confidenziali e riservate.
Se avete ricevuto questa comunicazione per errore non utilizzatene il contenuto e non portatelo a conoscenza di alcuno.
Siete inoltre pregati di eliminarla dalla vostra casella e avvisare il mittente.
E' da rilevare inoltre che l'attuale infrastruttura tecnologica non può garantire l'autenticità del mittente, nè tantomeno l'integrità dei contenuti.

Opinioni, conclusioni ed altre informazioni contenute nel messaggio possono rappresentare punti di vista personali a meno di diversa esplicita indicazione autorizzata.

**************************************************************************************

[ilsensine]

Quote:

Originariamente inviato da pinok

Però, facendo l'avvocato del diavolo, a mio avviso si rischia comunque di avere dei problemi. Infatti, ammesso che il dipendente sia stato avvisato che la sua posta è monitorata, chi tutela il mittente?

Bella domanda, non ci avevo pensato

(cmq se si mandano mail in chiaro, è noto che possono essere lette da praticamente tutti i gestori dei server in cui transitano, su richiesta -o meno- della polizia)

[pinok]

Quote:

Originariamente inviato da Nockmaar

Solitamente nelle aziende, a fine email, si inserisce un disclaimer tipo questo, proprio per tutelarsi nei confronti di terze parti che non siano dipendenti.

A cosa ti riferisci?
Quel disclaimer, che comunque lascia il tempo che trova, ha solo una validità informale. L'unica parte che può avere una certa importanza è che quanto uno scrive lo dice a titolo personale e l'azienda non se ne assume responsabilità.

Non tutela in nessun modo la privacy nè del dipendente né del destinatario.
E non può neanche esserne considerato un'abbozzo, visto che non la cita, non definisce le modalità né i fini del trattamento e soprattutto non ne prevede l'accettazione.

E soprattutto, non è detto che io scriva a un dipendente dopo avere ricevuto una sua mail con quell'allegato. Potrei anche conoscerne l'indirizzo mediante un biglietto da visita.

Ripeto, visto che hai fatto il cut del mio messaggio, non capisco a cosa ti riferisci e che valenza dai a quel messaggio.

[ilsensine]

Quote:

Originariamente inviato da Nockmaar

Solitamente nelle aziende, a fine email, si inserisce un disclaimer tipo questo, proprio per tutelarsi nei confronti di terze parti che non siano dipendenti.

...e c'è chi scrive su maling list _pubbliche_ con quei disclaimer appiccicati...veramente odiosi...

Quote:

E' da rilevare inoltre che l'attuale infrastruttura tecnologica non può garantire l'autenticità del mittente, nè tantomeno l'integrità dei contenuti.

Prima o poi la fantomatica "attuale infrastruttura tecnologica" scoprirà la crittografia a chiave pubblica

[pinok]

Quote:

Originariamente inviato da ilsensine

Bella domanda, non ci avevo pensato

(cmq se si mandano mail in chiaro, è noto che possono essere lette da praticamente tutti i gestori dei server in cui transitano, su richiesta -o meno- della polizia)

Vero. C'è da dire che l'enorme quantità di mail secondo me fà si che le più tante non vengano lette dai provider curiosi, perché ci perderebbero troppo tempo.
Certo che a campione....
Di sicuro, senza l'autorizzazione della polizia, commettono un reato

-- OT --
A me era capitato con un provider locale (un pioniere, nel senso che smanettava senza molta professionalità, ma era l'offerta migliore) nel lontano '97 i '98
Avevo disdetto l'abbonamento e lui mi aveva giustamente vietato l'accesso, ma non disabilitato l'account: fatto sta che con il finger vedevo che mi arrivava posta e che ogni tanto c'era una mail letta (da chi?).
Dopo una prima mail in cui facevo la "voce" grossa, ha posto rimedio disabilitando il finger ma la posta la riceveva ancora (bastava che la spedissi e non mi tornava indietro). Solo dopo avere parlato con il responsabile e minacciandoli di denuncia per intercettazione di corrispondenza, hanno tolto tutto !
Per fortuna che allora, bei tempi, il massimo che potevano intercettare era una foto della Pamelona Anderson
-- Fine OT --

[WebWolf]

Sono tutti punti di vista corretti e ciò non fa che ribadire il mio pensiero: è una campo minato.

Il classico paragone è quello della coperta stretta: se la tiri da una parte lasci scoperto qualcosa dall'altra.

Per quanto riguarda le mail, chi c'era prima di me, non so per quale motivo, aveva creato le mail personali (nome.cognome@nomeazienda).

Io ho inserito le mail istituzionali (ufficioacquiasti@nomeazienda) appunto perchè se qualcuno era in vancanza o assente che si faceva?

Si entrava con la sua password e si cercava la mail aziendale 'bypassando' le altre?

Il blocco di certi url potrebbe essere un'idea. Ma se uno si mette a leggere per due ore la gazzetta dello sport, oppure si prenota i viaggi con le agenzie e si fa inviare i voucher sulla mail dell'azienda ?

Ogni tanto mi diverto con tcpdump e si vede passare di tutto.

Oggi ho sguinzagliato la responsabile del settore Privacy per vedere se si riesce a trovare una soluzione, ma in campo informatico la legislazione è un po' indietro.

Staremo a vedere.

Comunque è una 'azienda' un po' particolare la mia. Diciamo che è pagata coi soldi di tutti Voi (almeno di quelli che pagano le tasse), quindi se la gente lavorasse invece di navigare ci guadagneremmo tutti ....

[samu76]

un up... discussione interessante

presto metterò un proxy sul server della rete scolastica di dove sono, al fine di limitare il traffico



invece che bloccare i siti a cui non si vuoe che accedano gli studenti, si potrebbe fare il contrario, ovvero lasciar raggiungibili solo i siti che possono essere visitati dal dipendente...
alla fin dei conti, almeno nelle PA, i siti che "devono" visitare sono molto limitati... la ricerca con google per dire, non avrebbe del tutto senso...

quando possono accedere al sito della provincia
al sito dell'ente tal dei tali
un paio di giornali on line

dovrebbe bastare
ed i sindacati devono star zitti, in quanto la rete internet dell'azienda (o ente) è privato, non posso monitorare il contenuto dei siti che visita il mio dipendente, ma posso dire alla mia rete: vai solo qui o solo li