All’interno degli invasivi e segreti “Bossware” che tracciano i lavoratori

COVID-19 ha spinto milioni di persone a lavorare da casa e uno stormo di aziende che offrono software per il monitoraggio dei lavoratori si è fatto avanti per lanciare i loro prodotti ai datori di lavoro in tutto il paese.

I servizi spesso sembrano relativamente innocui. Alcuni fornitori fatturano i loro strumenti come software di "monitoraggio automatico del tempo" o "analisi dei luoghi di lavoro". Altri commercializzano aziende preoccupate per la violazione dei dati o il furto di proprietà intellettuale. Chiameremo questi strumenti, collettivamente, "bossware". Pur mirando ad aiutare i datori di lavoro, il bossware mette a rischio la privacy e la sicurezza dei lavoratori registrando ogni clic e battitura, raccogliendo di nascosto informazioni per azioni legali e utilizzando altre funzionalità di spionaggio che vanno ben oltre ciò che è necessario e proporzionato per gestire una forza lavoro.

Questo non va bene. Quando una casa diventa un ufficio, rimane una casa. I lavoratori non dovrebbero essere soggetti a sorveglianza non consensuale o sentirsi spinti a essere controllati nelle proprie case per mantenere il proprio posto di lavoro.

Cosa possono fare?

Bossware in genere vive su un computer o smartphone e ha i privilegi di accedere ai dati su tutto ciò che accade su quel dispositivo. La maggior parte dei bossware raccoglie, più o meno, tutto ciò che l'utente fa. Abbiamo esaminato materiali di marketing, dimostrazioni e recensioni dei clienti per capire come funzionano questi strumenti. Esistono troppi tipi individuali di monitoraggio da elencare qui, ma proveremo a scomporre i modi in cui questi prodotti possono essere suddivisi in categorie generali.

Il tipo più ampio e più comune di sorveglianza è il "monitoraggio delle attività". Ciò include in genere un registro delle applicazioni e dei siti Web utilizzati dagli utenti. Può includere chi inviano e-mail o messaggi, inclusi argomenti e altri metadati, e qualsiasi post pubblicato sui social media. La maggior parte dei bossware registra anche i livelli di input da tastiera e mouse, ad esempio molti strumenti forniscono una ripartizione minuto per minuto di quanto un utente digita e fa clic, utilizzandolo come proxy per la produttività. Il software di monitoraggio della produttività tenterà di assemblare tutti questi dati in semplici diagrammi o grafici che offrano ai manager una visione di alto livello di ciò che i lavoratori stanno facendo.

Ogni prodotto che abbiamo esaminato ha la possibilità di acquisire schermate frequenti del dispositivo di ciascun lavoratore e alcuni forniscono feed video diretti e in diretta dei loro schermi. Questi dati di immagine grezzi sono spesso disposti in una sequenza temporale, quindi i capi possono tornare indietro durante la giornata di un lavoratore e vedere cosa stavano facendo in un dato momento. Diversi prodotti fungono anche da keylogger , registrando ogni sequenza di tasti eseguita da un lavoratore, inclusi e-mail non inviati e password private. Una coppia ha anche permesso agli amministratori di entrare e assumere il controllo remoto del desktop di un utente. Questi prodotti di solito non fanno distinzione tra attività lavorativa e credenziali del conto personale, dati bancari o informazioni mediche.

InterGuard pubblicizza che il suo software "può essere installato in modo silenzioso e remoto, in modo da poter condurre indagini segrete [dei tuoi lavoratori] e raccogliere prove a prova di proiettile senza allarmare il sospetto trasgressore".

Alcuni bossware vanno ancora oltre, raggiungendo il mondo fisico attorno al dispositivo di un lavoratore. Le aziende che offrono software per dispositivi mobili includono quasi sempre il rilevamento della posizione utilizzando i dati GPS . Almeno due servizi — StaffCop Enterprise e CleverControl — consentono ai datori di lavoro di attivare segretamente webcam e microfoni sui dispositivi di lavoro .

Esistono due modi in cui i bossware possono essere distribuiti: come un'app che è visibile (e forse persino controllabile da) il lavoratore, o come processo segreto in background che i lavoratori non possono vedere. La maggior parte delle aziende che abbiamo esaminato offre ai datori di lavoro la possibilità di installare il loro software in entrambi i modi.

Monitoraggio visibile

A volte, i lavoratori possono vedere il software che li sta sorvegliando. Potrebbero avere la possibilità di attivare o disattivare la sorveglianza, spesso inquadrati come "cronometraggio" e "cronometraggio". Naturalmente, il fatto che un lavoratore abbia disattivato il monitoraggio sarà visibile al proprio datore di lavoro. Ad esempio, con Time Doctor, i lavoratori possono avere la possibilità di eliminare determinati screenshot dalla loro sessione di lavoro. Tuttavia, l'eliminazione di uno screenshot eliminerà anche il tempo di lavoro associato, quindi i lavoratori ottengono credito solo per il tempo durante il quale vengono monitorati.

I lavoratori possono avere accesso ad alcune o tutte le informazioni raccolte su di loro. Crossover, la società dietro WorkSmart, confronta il suo prodotto con un fitness tracker per il lavoro al computer. La sua interfaccia consente ai lavoratori di vedere le conclusioni del sistema sulla propria attività presentate in una serie di grafici e diagrammi.

Diverse aziende di bossware offrono diversi livelli di trasparenza ai lavoratori. Alcuni danno ai lavoratori l'accesso a tutte o quasi tutte le informazioni di cui dispongono i loro dirigenti. Altri, come Teramind , indicano che sono attivi e raccolgono dati, ma non rivelano tutto ciò che stanno raccogliendo. In entrambi i casi, può spesso non essere chiaro all'utente quali dati vengano raccolti esattamente, senza richieste specifiche al proprio datore di lavoro o un attento controllo del software stesso.

Monitoraggio invisibile

La maggior parte delle aziende che creano software di monitoraggio visibile produce anche prodotti che cercano di nascondersi dalle persone che stanno monitorando. Teramind, Time Doctor, StaffCop e altri rendono i bossware progettati per essere il più difficile da rilevare e rimuovere possibile. A livello tecnico, questi prodotti non sono distinguibili dallo stalkerware . In effetti, alcune aziende richiedono ai datori di lavoro di configurare specificamente il software antivirus prima di installare i loro prodotti, in modo che l'antivirus del lavoratore non rilevi e blocchi l'attività del software di monitoraggio.

Questo tipo di software è commercializzato per uno scopo specifico: il monitoraggio dei lavoratori. Tuttavia, la maggior parte di questi prodotti sono in realtà solo strumenti di monitoraggio per scopi generici. StaffCop offre una versione del loro prodotto appositamente progettata per monitorare l'uso da parte dei bambini di Internet a casa e ActivTrak afferma che il loro software può essere utilizzato anche da genitori o funzionari scolastici per monitorare l'attività dei bambini. Le recensioni dei clienti per alcuni software indicano che molti clienti utilizzano effettivamente questi strumenti fuori dall'ufficio.

La maggior parte delle aziende che offrono un monitoraggio invisibile consigliano di utilizzarlo solo per dispositivi di proprietà del datore di lavoro. Tuttavia, molti offrono anche funzionalità come l'installazione remota e "silenziosa" che può caricare software di monitoraggio sui computer di lavoro, a loro insaputa, mentre i loro dispositivi sono fuori dall'ufficio . Questo funziona perché molti datori di lavoro hanno privilegi di amministratore sui computer che distribuiscono. Ma per alcuni lavoratori, il laptop aziendale che usano è il loro unico computer, quindi il monitoraggio aziendale è sempre presente. Esiste un grande potenziale di uso improprio di questo software da parte di datori di lavoro, funzionari scolastici e partner intimi. E le vittime potrebbero non sapere mai di essere soggette a tale monitoraggio.

La tabella seguente mostra le funzionalità di monitoraggio e controllo disponibili da un piccolo campione di fornitori di bossware. Questo non è un elenco completo e potrebbe non essere rappresentativo del settore nel suo insieme; abbiamo esaminato le aziende citate nelle guide del settore e nei risultati di ricerca che disponevano di materiale informativo di marketing rivolto al pubblico.

Tabella: caratteristiche comuni di sorveglianza dei prodotti bossware

	Monitoraggio dell'attività (app, siti Web)	Schermate o registrazioni dello schermo	keylogging	Attivazione webcam / microfono	Può essere reso "invisibile"
ActivTrak	confermato	confermato			confermato
CleverControl	confermato	confermato	confermato	confermato ( 1 , 2 )	confermato
DeskTime	confermato	confermato			confermato
Hubstaff	confermato	confermato
InterGuard	confermato	confermato	confermato		confermato
StaffCop	confermato	confermato	confermato	confermato ( 1 , 2 )	confermato
Teramind	confermato	confermato	confermato		confermato
TimeDoctor	confermato	confermato			confermato
Esaminatore del lavoro	confermato	confermato	confermato		confermato
WorkPuls	confermato	confermato			confermato

Caratteristiche di numerosi prodotti per il monitoraggio dei lavoratori, basati sul materiale di marketing delle aziende. 9 delle 10 aziende che abbiamo esaminato hanno offerto software di monitoraggio "silenzioso" o "invisibile", in grado di raccogliere dati all'insaputa del lavoratore.

Quanto è comune il bossware?

Il settore della sorveglianza dei lavoratori non è nuovo ed era già abbastanza grande prima dello scoppio di una pandemia globale. Sebbene sia difficile valutare quanto sia comune il bossware, è senza dubbio diventato molto più comune poiché i lavoratori sono costretti a lavorare da casa a causa di COVID-19. Awareness Technologies, proprietaria di InterGuard, ha affermato di aver aumentato la propria base di clienti di oltre il 300% solo nelle prime settimane dopo l'epidemia. Molti dei fornitori che abbiamo esaminato sfruttano COVID-19 nelle loro presentazioni di marketing per le aziende.

Alcune delle più grandi aziende del mondo usano bossware. I clienti di Hubstaff includono Instacart, Groupon e Ring. Time Doctor dichiara 83.000 utenti; i suoi clienti includono Allstate, Ericsson, Verizon e Re / Max. ActivTrak è utilizzato da oltre 6.500 organizzazioni, tra cui la Arizona State University, la Emory University e le città di Denver e Malibu. Aziende come StaffCop e Teramind non divulgano informazioni sui propri clienti, ma affermano di servire i clienti in settori come l'assistenza sanitaria, le banche, la moda, la produzione e i call center. Le recensioni dei clienti sul software di monitoraggio forniscono ulteriori esempi di come vengono utilizzati questi strumenti.

Cerchiamo di essere chiari: questo software è specificamente progettato per aiutare i datori di lavoro a leggere i messaggi privati ​​dei lavoratori a loro insaputa o consenso. In ogni caso, ciò non è necessario e non etico.

Non sappiamo quante di queste organizzazioni scelgono di utilizzare il monitoraggio invisibile, poiché gli stessi datori di lavoro non tendono a pubblicizzarlo. Inoltre, non c'è un modo affidabile per i lavoratori stessi di sapere, poiché così tanto software invisibile è esplicitamente progettato per eludere il rilevamento. Alcuni lavoratori hanno contratti che autorizzano determinati tipi di monitoraggio o ne impediscono altri. Ma per molti lavoratori, potrebbe essere impossibile dire se vengono osservati. I lavoratori che sono preoccupati per la possibilità di monitoraggio possono essere più sicuri di presumere che qualsiasi dispositivo fornito dal datore di lavoro li stia monitorando.

A cosa servono i dati?

I venditori di Bossware commercializzano i loro prodotti per un'ampia varietà di usi. Alcuni dei più comuni sono il monitoraggio del tempo, il monitoraggio della produttività, la conformità alle leggi sulla protezione dei dati e la prevenzione dei furti di proprietà intellettuale. Alcuni casi d'uso possono essere validi: ad esempio, le aziende che si occupano di dati sensibili hanno spesso obblighi legali per assicurarsi che i dati non vengano divulgati o rubati dai computer aziendali. Per i lavoratori fuori sede, ciò può richiedere un certo livello di monitoraggio sul dispositivo. Ma un datore di lavoro non dovrebbe effettuare alcun monitoraggio per tali scopi di sicurezza a meno che non possano dimostrarlo necessario, proporzionato e specifico ai problemi che sta cercando di risolvere.

Sfortunatamente, molti casi d'uso coinvolgono i datori di lavoro che esercitano un potere eccessivo sui lavoratori. Forse la più grande classe di prodotti che abbiamo esaminato è progettata per il "monitoraggio della produttività" o per un migliore monitoraggio del tempo, ovvero per registrare tutto ciò che i lavoratori fanno per assicurarsi di lavorare abbastanza duramente. Alcune aziende definiscono i loro strumenti come potenziali vantaggi sia per i manager che per i lavoratori . Raccogliere informazioni su ogni secondo della giornata di un lavoratore non è solo un bene per i padroni, sostengono – presumibilmente aiuta anche il lavoratore. Altri fornitori, come Work Examiner e StaffCop , si commercializzano direttamente ai manager che non si fidano del loro personale. Queste aziende spesso raccomandano di associare licenziamenti o bonus a metriche delle prestazioni derivate dai loro prodotti.

Alcune aziende commercializzano anche i loro prodotti come strumenti punitivi o come modi per raccogliere prove per potenziali azioni legali dei lavoratori. InterGuard pubblicizza che il suo software "può essere installato in modo silenzioso e remoto, in modo da poter condurre indagini segrete [dei tuoi lavoratori] e raccogliere prove a prova di proiettile senza allarmare il sospetto trasgressore". Questa prova, continua, può essere usata per combattere "cause di risoluzione errate". In altre parole, InterGuard può fornire ai datori di lavoro una quantità astronomica di informazioni private, raccolte segretamente per cercare di annullare il ricorso legale dei lavoratori contro un trattamento ingiusto.

Nessuno di questi casi d'uso, anche quelli meno inquietanti discussi sopra, garantisce la quantità di informazioni che i bossware solitamente raccolgono. E nulla giustifica nascondere il fatto che la sorveglianza sta avvenendo affatto.

La maggior parte dei prodotti acquisisce schermate periodiche e pochi consentono ai lavoratori di scegliere quali condividere. Ciò significa che informazioni sensibili mediche, bancarie o di altro tipo vengono acquisite insieme a schermate di e-mail di lavoro e social media. I prodotti che includono keylogger sono ancora più invasivi e spesso finiscono per acquisire le password degli account personali dei lavoratori.

Sfortunatamente, l'eccessiva raccolta di informazioni spesso non è un incidente, è una caratteristica. Work Examiner pubblicizza in modo specifico la capacità del suo prodotto di acquisire password private. Un'altra società, Teramind, riporta ogni informazione digitata in un client di posta elettronica, anche se tali informazioni vengono successivamente eliminate. Diversi prodotti analizzano anche stringhe di testo dai messaggi privati ​​sui social media in modo che i datori di lavoro possano conoscere i dettagli più intimi delle conversazioni personali dei lavoratori.

Cerchiamo di essere chiari: questo software è specificamente progettato per aiutare i datori di lavoro a leggere i messaggi privati ​​dei lavoratori a loro insaputa o consenso. In ogni caso, ciò non è necessario e non etico.

Cosa sai fare?

In base alla normativa statunitense vigente, i datori di lavoro hanno troppo margine di manovra per installare software di sorveglianza sui dispositivi di loro proprietà. Inoltre, poco impedisce loro di costringere i lavoratori a installare software sui propri dispositivi (purché la sorveglianza possa essere disabilitata al di fuori dell'orario di lavoro). Stati diversi hanno regole diverse su ciò che i datori di lavoro possono e non possono fare. Ma i lavoratori hanno spesso un ricorso legale limitato contro software di monitoraggio intrusivo.

Questo può e deve cambiare. Poiché le legislazioni statali e nazionali continuano ad adottare leggi sulla privacy dei dati dei consumatori , devono anche stabilire protezioni per i lavoratori nei confronti dei loro datori di lavoro. Iniziare:

• La sorveglianza dei lavoratori, anche su dispositivi di proprietà del datore di lavoro, dovrebbe essere necessaria e proporzionata.
• Gli strumenti dovrebbero ridurre al minimo le informazioni che raccolgono ed evitare di aspirare i dati personali come messaggi privati ​​e password.
• I lavoratori dovrebbero avere il diritto di sapere esattamente cosa raccolgono i loro dirigenti.
• E i lavoratori hanno bisogno di un diritto di azione privato , quindi possono fare causa ai datori di lavoro che violano queste protezioni legali sulla privacy.

Nel frattempo, i lavoratori che sanno di essere soggetti a sorveglianza – e si sentono a proprio agio nel farlo – dovrebbero impegnarsi in conversazioni con i loro datori di lavoro. Le aziende che hanno adottato bossware devono considerare quali sono i loro obiettivi e dovrebbero cercare di raggiungerli in modi meno invadenti. Bossware spesso incentiva i tipi sbagliati di produttività, ad esempio costringendo le persone a muovere il mouse e digitare ogni pochi minuti invece di leggere o mettere in pausa per pensare. Il monitoraggio costante può soffocare la creatività, diminuire la fiducia e contribuire al burnout. Se i datori di lavoro sono preoccupati per la sicurezza dei dati, dovrebbero prendere in considerazione strumenti che sono specificamente adattati alle minacce reali e che riducono al minimo i dati personali rilevati nel processo.

Molti lavoratori non si sentiranno a proprio agio nel parlare o potrebbero sospettare che i loro datori di lavoro li stiano monitorando in segreto. Se non sono a conoscenza dell'ambito del monitoraggio, dovrebbero considerare che i dispositivi di lavoro possono raccogliere qualsiasi cosa, dalla cronologia web ai messaggi privati ​​alle password. Se possibile, dovrebbero evitare di usare dispositivi di lavoro per qualsiasi cosa personale. E se ai lavoratori viene chiesto di installare software di monitoraggio sui propri dispositivi personali, potrebbero essere in grado di chiedere ai propri datori di lavoro un dispositivo separato, specifico per il lavoro, dal quale le informazioni private possono essere facilmente eliminate.

Infine, i lavoratori potrebbero non sentirsi a proprio agio nel parlare di essere sorvegliati per preoccupazione di rimanere occupati in un periodo di disoccupazione record . Una scelta tra monitoraggio invasivo ed eccessivo e disoccupazione non è affatto una scelta.

COVID-19 ha messo in rilievo tutti noi, ed è probabile che cambi radicalmente anche il modo in cui lavoriamo. Tuttavia, non dobbiamo lasciarlo inaugurare una nuova era di monitoraggio ancora più pervasivo. Viviamo più delle nostre vite attraverso i nostri dispositivi che mai. Ciò rende più importante che mai che abbiamo il diritto di mantenere private le nostre vite digitali, da governi, aziende tecnologiche e datori di lavoro.