Scrivere una Social Media Policy



Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate: ultima modifica: 20.02.14

I Social Media le aziende hanno una relazione complicata. Indipendentemente dalla presenza attiva con una pagina Facebook o un canale Twitter, la maggior parte dei dipendenti ha un account su uno o più social network: già questo espone a dei rischi. Questi rischi non riguardano solo l’impresa, ma sono elementi che possono avere delle conseguenze, anche gravi, per i dipendenti. Come può quindi un’azienda tutelare se stessa, i suoi asset e i suoi dipendenti? Attraverso le Social Media Policy.

L’importanza delle policy

La policy è l’unico strumento para-giuridico per disciplinare le attività aziendali e che i datori di lavoro possono usare per indicare il corretto uso degli strumenti lavorativi. Grazie a questo strumento quindi è possibile indicare che cosa è possibile fare e cosa invece no, quali sono le regole da seguire per il corretto uso e come evitare di incorrere in sanzioni.

Molto spesso si pensa che le policy servano a proteggere solo il proprietario dell’azienda, ma nella maggior parte dei casi, questi documenti, servono a tutelare il dipendente che inconsciamente si espone a dei rischi che possono avere conseguenze anche gravi (ad esempio il licenziamento senza preavviso).

I problemi nella stesura

Ma cosa ci vuole a scrivere una Social Media Policy? Non basta cercare su Google e copiare quelle di qualche famosa azienda americana? Purtroppo no per tre motivi

  1. le leggi americane sono diverse da quelle italiane quindi copiare una policy made in USA rischia di provocare più danni che benefici;
  2. le policy dipendono dai rischi e dalle necessità di ogni singola azienda, copiando quelle degli altri si rischiano di prendere contromisure eccessive o inutili;
  3. la regolamentazione dei Social Media è una materia delicata, complessa e spinosa perché si vanno a incrociare e sovrapporre attività lavorative e account personali
Il terzo punto è quello a mio avviso sul quale porre la maggior attenzione: normare i Social Media è estremamente complicato perché si tratta di disciplinare attività fatte a distanza, in alcuni casi non sul luogo di lavoro e con un account personale. Il primo rischio copiando o scrivendo una Social Media Policy in maniera superficiale è di violare lo statuto dei lavoratori
legge 300/70 art. 4 E’ vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori
Inoltre io non posso obbligare un dipendente a dire o non dire certe cose usando il suo account personale, posso solo regolamentare l’attività lavorativa, tuttavia il confine tra personale e lavorativo si è reso molto sfumato negli ultimi anni. Accettare tra i propri amici il datore di lavoro, colleghi, fornitori, clienti e affini limita in qualche modo la nostra libertà d’espressione dato che questi hanno sempre accesso alle informazioni che condividiamo. Queste persone, i nostri amici, i nostri follower, non sempre riescono a capire dove inizia il nostro profilo personale e dove quello lavorativo, non posso dire “dalle 9 alle 17 sono il rappresentante dell’azienda e dalle 18 alle 8 sono invece un privato cittadino”.

Ma non posso evitare di regolamentare i Social Media sul posto di lavoro? Ovviamente sì, basta essere consapevoli degli eventuali rischi come ad esempio:

  • Problemi di sicurezza: i Social Media sono diventati uno dei principali vettori per la diffusione di malaffare e affini; inoltre le attività di Ingegneria Sociale sfruttano i Social Network per trovare le informazioni necessarie per condurre gli attacchi.
  • Violazione 231/01: nei reati presupposto sono indicati alcuni reati commessi a vantaggio o nell’interesse dell’azienda tra i quali la concorrenza sleale. Uno dei responsabili dell’azienda che posta commenti offensivi sulla bacheca dei competitor è considerato concorrenza sleale…
  • Diffusione di informazioni confidenziali: un dipendente che si geolocalizza da un cliente protetto da un severo NDA sta violando le clausole di riservatezza così come il dipendente che pubblica informazioni sui progetti ai quali sta lavorando.
  • Danni all’immagine e alla reputazione: il dipendente che pubblica commenti negativi sulla propria azienda, sui colleghi o sui fornitori espone se stesso al rischio di licenziamento (ad esempio per violazione del codice etico) e l’azienda a dei danni d’immagine.  Immaginate a cosa potrebbe succedere durate una riunione con un prospect se questi estraesse un tablet e facesse vedere il commento scurrile e offensivo fatto sulla sua bacheca da un nostro collega, sicuramente sarebbe una riunione in salita.

Ma non posso vietare  i Social Media sul posto di lavoro? Ovviamente sì, anche in questo caso basta essere consapevoli degli eventuali rischi:

  • Riduzione della produttività: vietare l’accesso ai dipendenti perché “potrebbero distrarsi” è piuttosto miope, a questo punto consiglio di togliere le matite e fogli perché potrebbero disegnare invece che produrre. Inoltre nella maggior parte dei casi aumenterebbero le ricerche su google legate a “superare il firewall aziendale” e “usare proxy sul lavoro”: le persone passerebbero quindi più tempo a cercare il modo di aggirare le misure adottate che a lavorare
  • Aumento delle vulnerabilità: dato che le persone, i dipendenti, desiderano e bramano andare sui Social Media useranno i propri smartphone per visitarli (normalmente privi di qualunque protezione), dopodiché collegheranno il telefono al pc aziendale. Inoltre installando proxy sulle macchine aziendali va da sé che aumentano i rischi.
Per scrivere una Social Media Policy quindi sono necessarie conoscenze sulla singola azienda, sul Risk Management, sui Social Media, sul diritto:  questo significa coinvolgere e riunire attorno allo stesso tavolo persone diverse che possano raggiungere un buon compromesso. Se ci occupiamo di Social Media in azienda è necessario avere delle competenze su tutte e quattro le aree in modo da poter quantomeno iniziare a tratteggiare i contorni senza commettere errori drammatici.

Il garante della privacy fornisce alcune indicazioni sulla stesura delle policy per il corretto uso dell’email aziendali: nonostante si tratti di strumenti diversi, data la vicinanza di alcuni elementi, possiamo comunque ricavarne alcune considerazioni interessanti nello sviluppo di una Social Media Policy. Inoltre, sempre il garante, fornisce alcuni spunti interessanti in merito alla privacy e sicurezza sui Social Media: il documento è molto interessante e completo a mio avviso e una lettura prima di scrivere la Policy (o subito dopo) aiuta a controllare che non ci sia sfuggito nulla.

Policy vs Linee Guida

In alcune occasioni può capitare che si tenda a fare confusione tra questi due documenti, ma in realtà sono estremamente diversi: ma quali sono le differenze tra le due? Ecco una breve tabella comparativa

Policy

  • Specifica
  • Chiusa
  • Prescrittiva
  • Non interpretabile
  • Previsto controllo
  • Definite delle sanzioni

Linee guida

  • Generica
  • Lasca
  • Facoltativa
  • Aree grigie
  • Nessun controllo
  • Nessuna sanzione

A questo punto capite subito che una scritta “non fate cose stupide” o “usate il buon senso” o “siate responsabili” sono frasi più da guideline che da policy perché non specificano nulla. Il principio chiave è “tutto quello che non è vietato è consentito”: se non si esplicita che cosa è stupido e cosa no, non sono tenuto a saperlo e posso serenamente oppormi a eventuali contestazioni.

Avete quindi capito che i famosi decaloghi presentati come Social Media Policy in realtà sono delle Linee Guida.

Scrivere la Social Media Policy

Una policy ha una struttura precisa, deve avere alcuni elementi fondamentali e possiamo identificarne diverse tipologie:

  • Program policy
  • Program framework policy
  • Issue specific policy
  • System specific policy

Lo scopo di una policy è l’efficacia, non la perfezione: punto chiave quindi è che ogni regola che andremo a scrivere dovrà essere praticabile. Oltretutto quello che andremo a definire non dovrà essere di carattere generale né liberamente interpretabile: non ci devono essere dubbi o spazi grigi nella social media policy, altrimenti ci troviamo con un documento impraticabile ed inefficace. Infine dovrò specificare se ci possono essere delle eccezioni e nel caso dovrò dettagliarle chiaramente.

Ancor prima di dedicarmi alla scrittura però dovrò aver fatto alcune ricerca sulla mia azienda e nel dettaglio dovrò aver fatto:

  • Analisi di contesto
  • Classificazione degli asset
  • Definizione dei diritti
  • Catalogazione dei rischi
  • Valutazione dei rischi
  • Identificazione delle contromisure
  • Integrazioni

Vedete subito che la parte di risk assessment è fondamentale per la stesura della Social Media Policy (e in generale di tutte le policy): solo dopo aver fatto questa prima analisi potrò dedicarmi alla stesura vera e propria. È necessario inoltre ricordare che posso avere più Social Media Policy: una per regolamentare l’uso sul posto di lavoro, una per l’uso degli account personali e una per gli account aziendali. In alternativa posso averne una unica (anche se secondo me è molto rischioso e rischia di cozzare con il principio di efficacia: nessuno legge una Social Media Policy di 300 pagine)

Ma quali sono gli elementi di una policy? Grossomodo possiamo identificare una struttura di questo tipo

  • Motivazioni dell’adozione: prima di tutto deve spiegare perché è necessaria la policy e chi vuole tutelare, insomma la ragione della sua esistenza: a mio avviso è bene spiegare ancor prima dell’azienda si vuole tutelare i dipendenti da eventuali problemi che potrebbero incorrere da un uso ingenuo di questi strumenti
  • Raggio d’azione della policy: una Social Media Policy assoluta è inapplicabile, se è troppo generale non è efficace. Ricordate che tutto quello che non è vietato è consentito.
  • Autori della policy: chi ha provveduto alla stesura? Chi l’ha approvata
  • Scopi della policy: finalità del documento
  • Figure preposte al controllo e alla sicurezza: chi sono i responsabili per la verifica della policy?
  • Destinatari della policy: a chi si applica il documento in questione? Esistono delle eccezioni?
  • Regole ed obblighi
  • Direttive specifiche
  • Eccezioni
  • Adeguamenti: ogni quanto verrà aggiornata la policy? Dove posso trovare l’ultima versione aggiornata? Personalmente, data la velocità con la quale evolvono le piattaforme e in generale i Social Media raccomando un’aggiornamento ogni sei mesi.
  • Responsabilità
  • Uso dei disclaimer: in Italia i disclaimer hanno un valore legale praticamente nullo, ma nonostante ciò a mio avviso è sempre bene prevederli. Infatti, a mio avviso, è comunque un fattore di mitigazione dal momento che aumenta la consapevolezza dei dipendenti e dei colleghi nei confronti di quanto viene scritto sui blog e all’interno degli altri social network
  • Conseguenze per la mancata adozione: sistema sanzionatorio
Come potete vedere si tratta alla fine di uno schema ciclico che segue il modello PDCA
Plan Do Check Act model

PDCA model disegnato a lezione

A questo punto vi rendete conto della complessità e della bellezza delle Social Media Policy: si tratta di trovare un difficile punto d’equilibrio tra diverse esigenze, creatività all’interno di una gabbia dorata.

Conclusioni

Una Social Media Policy è un documento fondamentale perché evita i problemi e semplifica il lavoro grazie a delle regole e procedure chiara (se le Policy o le procedure interne rallentano il lavoro significa che non sono scritte nel migliore dei modi).

Ecco qui un esempio di Social Media Policy fatta per l’esame del Master in Security Specialist: non è malvagia, ci sono alcune imprecisioni che ho deciso di lasciare, tanto sono sicuro che avrete capito che copiarla sarebbe inutile 😉

Featured image: Photo by churl – http://flic.kr/p/o7wdj

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply