Smart working: come contemperare l’esigenza del controllo datoriale con la tutela dei dati personali                                                                           

[vc_row css=”.vc_custom_1593673528559{padding-top: 7% !important;padding-right: 7% !important;padding-bottom: 7% !important;padding-left: 7% !important;}”][vc_column][vc_column_text]

di Carmen Triolo

 

La flessibilità  della prestazione lavorativa agile  nella concezione di una diversa organizzazione  in ambiente  c.d. “diffuso”  del lavoro: come contemperare l’esigenza del controllo datoriale con la tutela dei dati personali                                                                           

E’ chiamato  smart working  ( lavoro agile ) : modalità di prestazione dell’attività lavorativa che  consente di svolgere – totalmente o  parzialmente – il lavoro da casa o comunque fuori dai locali dell’azienda o dello studio, attraverso l’utilizzo di  applicazioni tecnologiche come strumento di lavoro.

Smart worker ( lavoratore agile ): chi svolge la prestazione lavorativa  in modalità agile

Non si tratta di una novità normativa  introdotta dall’emergenza Covid -19 .

La definizione è risalente al dettato contenuto nella legge n. 81/2017:   accordo scritto  fra datore di lavoro e lavoratore subordinato che rende  legittimo svolgere la prestazione lavorativa in tempi e luoghi diversi dai locali dell’azienda e dall’orario stabilito nei CCNL . Successivamente questa modalità di prestazione lavorativa  si ritrova nella  L. 145/2018 dd 30 dicembre 2018 ( Legge di Bilancio 2019 ) che  prevede , in favore alle condizioni delle lavoratrici madri e dei genitori con figli in condizioni di disabilità,   una corsia preferenziale per l’affidamento della modalità in smart working.

In tempo Covid -19  la chiusura obbligatoria delle attività produttive ha esteso il preesistente normativo  a tutti i  lavoratori in generale –  dipendenti  di pubbliche amministrazioni,  liberi professionisti – figurando la modalità agile di rendere la prestazione lavorativa quale  misura  anti – contagio,  massimamente caldeggiata  attraverso i  DPCM , in applicazione  semplificata,  per un ambiente di lavoro  c.d. ” diffuso “, fuori da canoni di tempo prefissato  e in luogo – anche diverso – da quello  dell’ azienda.

Sino alla fine dell’emergenza  – decretata  per il 31 luglio 2020 –  i lavoratori dipendenti disabili o che abbiano nel proprio nucleo familiare una persona con disabilità ( DPCM 17.3.2020 N.18)  e per i genitori lavoratori dipendenti del settore privato, con almeno un figlio a carico minore degli anni 14 ( DPCM 19.5.2020 N.34 DECRETO “RILANCIO” )  viene riconosciuto il diritto al lavoro agile, a condizione che tale modalità sia compatibile con le caratteristiche della prestazione  e secondo i requisiti  previsti dalla legge .

Prendendo come linea di demarcazione, l’emergenza virale:  in  precedenza,  lo smart working – previsto   nel rapporto di lavoro subordinato –   poneva in capo al  datore di lavoro  l’ obbligo di stabilire per iscritto che l’esecuzione della prestazione venisse svolta all’esterno o con cicli differenziati in azienda e fuori azienda.

Ed ancora, la previsione del  dovere di  disciplinare varie condizioni:

  • le condizioni affinchè  il datore di lavoro potesse esercitare il proprio dovere direttivo;
  • quali strumenti dovessero essere impiegati dal lavoratore per rendere la prestazione ;
  • i tempi di riposo e le misure tecniche e organizzative che permettono un’effettiva disconnessione intellettuale del lavoratore dagli strumenti tecnologici, considerando la reperibilità del lavoratore nel tempo di lavoro ;
  • indicare la disciplina del potere di controllo sulla prestazione in smart working in combinato disposto con quanto previsto dall’art. 4 dello Statuto deli lavoratori;
  • indicare le condotte  non ammesse nell’espletare la prestazione lavorativa a distanza e che possano prevedere l’applicazione di sanzioni disciplinari.

Dopo l’arrivo del  Coronavirus,  il DPCM 1 marzo 2020 è intervenuto sulle modalità di accesso allo smart working prevedendone una forma semplificata che può essere attivata –  anche in carenza dell’accordo scritto previsto dall’art.19 della L. 81/2017 – ricorrendo alla documentazione resa disponibile sul sito INAIL per adempiere agli obblighi di informativa, con individuazione dei rischi generali e rischi specifici, connessi alla particolare modalità di esecuzione del rapporto di lavoro . Si tratta  della modalità telematica prevista dalla Legge n.27 del 24 aprile 2020 attraverso una procedura  di adesione   attraverso SPID ( Sistema Pubblico di Identità Digitale)   o in accesso diretto con credenziali ai servizi del Ministero del Lavoro e delle Politiche Sociali .

E dunque in tempo di  emergenza virale, la modalità agile della prestazione lavorativa prevede che  la disciplina prevista  dall’art. 18 all’art. 23 della legge 22 marzo 2017 n. 81  (prescrizione in rapporto di  lavoro subordinato,  di un accordo scritto tra datore di lavoro e lavoratore ,  in  conformità alle previsioni di legge e della contrattazione collettiva, con previo accordo delle rappresentanze sindacali ) possa essere applicata, anche in assenza degli accordi individuali, per la durata di sei mesi dello stato di emergenza e possa essere applicata dai datori di lavoro – imprese e professionisti – ad ogni tipo di lavoro subordinato sull’intero territorio nazionale, assolvendo in via  telematica, agli obblighi  di informativa sulla salute e sicurezza.

 

Flessibilità, autonomia  organizzativa, produttività  sono i concetti  legati alla  prestazione lavorativa agile

 

Vantaggi

per il lavoratore : in termini di principio ed in  generale,  il lavoratore può godere della possibilità di una libera organizzazione della prestazione che potrebbe  consentire  di conciliare i tempi di vita e di lavoro;

per il datore di lavoro: può rilevarsi interessante ridurre il sovraffollamento delle strutture, con vantaggio economico sui costi per gli spazi di lavoro e  con  possibile incremento degli operatori.

 

Aspetti problematici

per il lavoratore:  nell’applicazione pratica,  il  concetto di lavoro agile,  non coincide strettamente con il significato di  lavoro agevole ;   il pensiero di poter coniugare al meglio casa e lavoro, ha dovuto constatare la ricerca  della disponibilità di almeno una  stanza della casa compatibile con la prestazione lavorativa da adempiere,   all’interno di una  coabitazione restrittiva e forzata con  familiari e animali ; la divisione dei terminali  con figli  impegnati nella didattica a distanza , le numerose distrazioni  proprie di un ambiente diverso da quello abituale ; e poi il perdurare del tempo  da trascorrere in  cattività per una  estrema difficoltà psicologica , accanto all’improvvisazione – spesso – di mezzi e di tecnologie  a supporto della prestazione  lavorativa da assolvere ed di informative carenti sull’utilizzo , sui rischi dei diversi collegamenti in remoto;

per il datore di lavoro:  data per attestata e presupposta, la piena fiducia sulla serietà professionale del dipendente ” in modalità agile  ” , tuttavia  non può escludersi l’ascolto di  quella voce interna  – di imprenditoriale tonalità  – che  domanda quale possa essere il controllo e l’effettiva produzione  del  dipendente/ lavoratore,  collegato da casa, senza lo stimolo alla produzione che l’adrenalina ” da posto di lavoro ” in azienda o ufficio,  spinge ad eseguire la prestazione in tempi prestabiliti e  controlli diretti .

 

Non che il problema  del controllo datoriale sia collegato – solo ed esclusivamente  –  al momento della normativa  anti-contagio di emergenza prevista per la modalità  di prestazione lavorativa agile.

In  tempi diversi –  diremo ”  ordinari “,  senza  pandemia –  il problema del  controllo datoriale e/o la responsabilità diretta del prestatore di attività lavorativa sono stati egualmente sottoposti a dura prova : ne sono esempio,  i c.d. ” furbetti”:  timbratori seriali , collezionisti  di pass nominativi  per inizio e fine turno di lavoro, timbrati  per  sé e per  colleghi ” fantasmi” , assenti dal luogo di lavoro ; oppure si pensi ai tempi  dilatati  della cd ” pausa- caffè” estesi sino a comprendere la spesa al supermercato, una seduta dal parrucchiere, un giro di vasca in piscina o lo svolgimento in contestuale contemporaneità , di un secondo  lavoro.

La fantasia estesa di  artifizi e ai raggiri  versus il  rispetto al corretto  meccanismo di lettura del  tesserino di entrata ed uscita dal luogo di impiego: tematiche di  ordinaria conclamata elusione  del controllo datoriale – spesso  rappresentato da una pubblica amministrazione – narrazioni approfondite   che   hanno impegnato  intere pagine di cronaca stampata ed alimentato  acuti dibattiti in salotti televisivi , sino alle carte bollate di imputazione penale.

 

Ma  quali sono  i tempi della prestazione lavorativa e quali i possibili controlli  durante la modalità della prestazione lavorativa in smart working ?

Per il datore di lavoro e  per  il lavoratore – anche in tempo di emergenza – resta fermo  l’obbligo di rispettare la disciplina prevista dalla L. 81/2017 con riguardo all’orario di lavoro, all’esercizio del potere organizzativo e di controllo del datore di lavoro, al diritto alla disconnessione;  e resta consigliabile una apposita comunicazione- informativa  fornita  al lavoratore in applicazione  smart working , anche in assenza dell’obbligo di  un accordo scritto.

Sotto il profilo del controllo datoriale  sussiste il  divieto di utilizzo di apparecchiature per l’esclusiva finalità di controllo  a distanza delle attività dei lavoratori. La deroga riguarda le esigenze organizzative, produttive o di sicurezza del lavoro  o tutela del patrimonio aziendale ; in tali casi il datore di lavoro dovrebbe stipulare un  previo accordo  con le rappresentanze sindacali unitarie o aziendali o, in mancanza, previa autorizzazione amministrativa rilasciata dal competente Ispettorato del lavoro

Sono previste due tipologie di controllo :

  1. mediante apparati audiovisivi;
  2. mediante strumenti di lavoro ( telefono, computer, tablet etc ) o mediante software/applicativi per la registrazione degli accessi e delle presenze installati su dispositivi di lavoro in dotazione al dipendente.

 

Raccolta di dati dei lavoratori in smart working

Se il datore di lavoro vuole effettuare una raccolta dei dati in smart working,  quali la tracciabilità da remoto con degli applicativi diversi, occorrerà attivare un Data Protection Officer , rilasciando una informativa integrata al lavoratore che  renda edotti su quella che è la raccolta dei nuovi dati  e dovranno essere individuate le risorse autorizzate dall’azienda all’accesso dei dati relativi ai lavoratori posti in remoto; dovranno essere adottate misure di sicurezza adeguate a tutelare eventuali dati sensibili o sensibilissimi  e se si prevede l’uso di strumenti più invasivi,  che consentono in ogni caso un controllo a distanza,  andrà predisposto un DPIA ( Date Protection Impact Assessment) con tracciabilità di tutti i documenti,  per l’ipotesi di contenzioso ;  quindi , in caso di  strumenti o software  che comportino un controllo massivo dell’attività è doveroso in ogni caso informare il lavoratore e rispettare i principi di necessità e proporzionale pertinenza e non eccedenza .

Ne consegue che  il datore di lavoro, nel pieno rispetto  della normativa vigente in diritto del lavoro ed in applicazione di essa –  nella situazione di emergenza , anche in questa fase attuale –  potrebbe controllare lo smart worker,  senza  eliminare riservatezza ed autonomia nello svolgimento della prestazione, ma potrebbe anche utilizzare le informazioni lecitamente raccolte  ai sensi dell’ ultimo comma dell’art.4  Statuto dei Lavoratori, in seguito alle modifiche apportate dallo Jobs Act prevede all’art.  3 che, in detti casi, dispone che  il lavoratore riceva adeguata informazione  riguardo alla modalità d’uso degli strumenti e  riguardo alla possibilità di effettuazione dei controlli  ( policy aziendale) e nel rispetto della normativa privacy con l’osservanza dei principi privacy by design e privacy by default ( Regolamento UE 2016/679 e D.Lgs 196/2003, come modificato da D.Lgs n.101/2018).

In merito il Garante per il trattamento dei dati personali, nel provvedimento n.303 del 13 luglio 2016 ha specificato che se i sistemi software che effettuano operazioni di monitoraggio , di filtraggio, controllo,  sono installati  in modalità percepibile dall’utente e in modo indipendente rispetto alla normale attività dell’utilizzatore, senza interferire sul lavoratore del dipendente , questi  non possono essere considerati ” strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa “; in questa nozione possono ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa

E  nel tempo di ampia applicazione della modalità in smart working  si apre lo scenario della tutela dei dati e del trattamento dei dati, da analizzare  sotto un duplice profilo :

per il datore di lavoro:   aumenta il rischio che i dati – personali ed aziendali – di cui è titolare vengano trattati in modalità remota dal lavoratore senza che siano rispettate quelle misure organizzative e/o tecniche adottate dal datore di lavoro a garanzia di liceità e correttezza del trattamento;

per il lavoratore : il rischio consta nella possibilità di ingresso del datore di lavoro nella propria vita personale e privata.

 

Come affrontare i rischi del  trattamento dei dati e come appurare  se il trattamento sia  strettamente necessario ai fini dell’organizzazione imprenditoriale , nel rispetto del principio informatore della privacy di minimizzazione  ?

Sotto tale profilo si ricorda nel recente passato, l’ampio  dibattito  riguardo alle iniziative emergenziali di sorveglianza sanitaria,  concordate con la parti sociali ( Protocollo 24 aprile 2020 –  tema di trattazione di precedente articolo pubblicato in questo sito ) con ogni relativa problematica concernente le rivelazioni diagnostiche effettuabili dal datore di lavoro. Per non tacere , sotto medesimo aspetto,  del proliferare di truffe informatiche  alimentato dal panico della gente es : phishing e furti di identità on line di persone esasperate dalla ricerca  di presidi sanitari di protezione e farmaci salvavita; oppure si pensi alla diffusione di dati identificativi di presunti untori tramite social sino ad arrivare a mezzi di pubblica informazione .

E come non considerare – ancora –  le vulnerabilità di cybersecurity , evidenziate da alcune piattaforme di utilizzo per interazione sociale , professionale o scolastica ( es:   video conferenza Zoom Meeting ) ; e poi il grave data breach che ha interessato il sito INPS- definito caso emblematico dal Garante della Privacy – ed occorso  nella partizione dedicata alle richieste di misure emergenziali di sostegno economico .

Sono esperienze assai recenti che parlano di  estesa difficoltà di protezione dei  dati personali e riservati.

In effetti , si conosce, il rapporto tra privacy e pandemia è complicato ; d’altronde, ogni volta che una questione di sicurezza  nazionale si manifesta , in generale, in contro-altare   sale il sentore che le tutele sui dati e sulla privacy  siano abdicabili . Un tanto , anche se ,  la normativa  di data protection ,  al verificarsi di eventi straordinari,  prevede meccanismi di flessibilità,  che consentono  di adeguare –  senza eludere –  la protezione di diritti fondamentali che tali sono e restano, anche in tempo di pandemia.

Si tratta di contemperamento , di bilanciamento : è  priorità la  tutela della salute pubblica , ma tanto non significa che vengano automaticamente eluse o annientate altre tutele di rilevanti diritti ( si parla infatti di ” compressione”  di flessibilità,  in emergenza : per un tempo misurato e secondo criteri di protezione ).

Ed in tempo di pandemia l’adozione  dello smart working da opzione  sporadica – normativamente prevista –  –  è diventata una soluzione obbligata, facilitata dal fatto che i lavoratori sono attualmente,  in maggioranza dotati di un computer domestico e di una stampante,  spesso di una connessione flat ad alta velocità,  in modo tale da poter assicurare la prestazione , anche quando il datore di lavoro non abbia fornito le dotazioni ICT per agevolare il lavoro.

Sotto la  lente della normativa privacy – intesa come sicurezza dei dati – i progetti di smart working comportano il coinvolgimento dell’intera organizzazione aziendale,  cui consegue una maggiore responsabilizzazione ( accountability ) dei lavoratori / autorizzati,  dotati di maggiore  autonomia  ed orientati a  risultati  della prestazione ; obiettivi  che risultano maggiormente avvertiti dal prestatore di attività, rispetto al lavoro svolto in modo tradizionale.

In materia di controllo datoriale sulla prestazione lavorativa  agile, il richiamo del Garante della Privacy  durante l’audizione in Commissione del Lavoro al Senato  tenuta il 13.5.2020,  è nel senso  di  evitare un “ uso improvvisato  dello smart working” ; al pari,  la raccomandazione del Garante è  di evitare  ” l’uso sistematico e pervasivo  dei sistemi di monitoraggio  dell’attività compiuta dal dipendente che lavora  da casa ”  secondo quanto previsto dalla normativa di settore.

 

In sintesi :  i  “dettati ” della normativa privacy rispetto alla   modalità agile della prestazione lavorativa

– E’ tassativo il divieto imposto al  il datore di lavoro di fornire ai lavoratori pc, smartphone o altri strumenti  dotati di funzionalità per il monitoraggio sistematico e pervasivo del lavoratore.

– Va garantito il diritto alla disconnessione,  per non negare  la necessaria definizione tra spazi di vita privata  ed  attività lavorativa, con il rischio di annullare alcune tra le più antiche  conquiste nel lavoro tradizionale .

– Va  affermato il diritto alla protezione dei dati  per l’affermazione del l diritto di autodeterminazione  del  lavoratore .

Tanto premesso, nello specifico , il decreto  del Presidente del Consiglio dei Ministri  che ha esteso l’adozione della modalità smart working in forma semplificata , non ha prescritto  particolari adempimenti in termini di sicurezza dei dati personali  in relazione all’utilizzo di pc, tablet, smartphone personali e/o device aziendali .

Si è trattato di emergenza ? Certo !

L’emergenza è  stata tale, imprevista e bloccante e non ha  consentito di provvedere in tempo per l’utilizzo ai propri device delle misure di sicurezza richieste per la salvaguardia dei dati; ne è stata conseguenza l’adozione in tutela dati di  misure fittizie,  non regolamentate , improntate all’improvvisazione del ” far da sé ” ed all’esigenza di garantire un minimo di attività produttiva .

Ne è discesa, come inevitabile conseguenza, la  carenza di una  policy di sicurezza  dei dati, che essendo  prevista e presente  all’interno dei locali dell’azienda,  non è stata  adottata per l’ambiente di lavoro c.d. diffuso; dove  lo spostarsi della prestazione lavorativa in altro luogo diverso dall’azienda , ha portato  a diffondere un’enorme massa di dati personali,  messi a disposizione di dipendenti e collaboratori all’esterno dell’impresa.

Sul punto l’Osservatorio Smart working del Politecnico di Milano ha dichiarato che  il 58% delle grandi imprese ha adottato iniziative di promozione del lavoro flessibile, mentre le PMI  avrebbero  adottato progetti strutturati per il 12% ; il 16% di progetti strutturati in smart working per la P.A.

Invero la modalità flessibile del lavoro agile, richiede un uso sapiente dell’innovazione digitale , ma anche una governance integrata e una evoluzione dei modelli organizzativi aziendali .

E’ di evidenza che all’interno di tale cornice, le tecnologie digitali che ampliano e diffondono in modo virtuale lo spazio di lavoro ed il tempo del lavoro , facilitano la creazione di network professionali e sviluppano diverse modalità ed organizzazione di lavoro.

D’altro lato è evidente , al contempo, che  con l’emergenza ed il  diffondersi del lavoro agile, diventata una esigenza  improvvisa, i dati personali sono stati portati all’esterno dell’azienda e senza adeguata protezione, il rischio di furti , modifiche, perdite accessi non autorizzati e altre possibilità in violazione della  protezione, possono diffondersi e moltiplicarsi

Sotto tale profilo, molti i quesiti rivolti al Garante  da parte dei soggetti pubblici e privati  in relazione  alla possibilità di trattamento dei dati relativi allo stato di salute, ma altrettanto cogente è stata l’adozione di una disciplina necessaria e puntuale del trattamento delle varie tipologie di dati personali,  che vengono usati con disinvoltura da casa,  in uno smart working, tanto diffuso e necessario, quanto non programmato ed adeguato in termini di tutela dati .

 Ed ora che la modalità smart working con il decreto  ” Rilancio ” ( art. 90 del DL n.34/2020)  e Piano Colao  viene  richiesto e  forse  prorogato  anche per il futuro , oltre il termine prefissato al 31 luglio 2020 , cosa succede  ?

Quali gli adeguamenti necessari per il lavoro agile sotto il profilo di una strutturata tutela del trattamento dei dati sensibili  ?

Da un lato occorre considerare che dipendenti e collaboratori , in qualità di autorizzati al trattamento dati , in ogni caso nel periodi di emergenza, dovrebbero essere stati iniziati e formati sotto precise istruzioni , ricevute dal datore di lavoro per la salvaguardia dei dati personali che essi trattano nell’ adempimento della prestazione , ma  le direttive aziendali  e le procedure di sicurezza, raramente, si estendono al trattamento fuori dai locali dell’azienda.

Per rispondere all’esigenza in modo semplice — solo in apparenza semplicista –  si deve affermare  la necessità di rispettare la normativa GDPR e quindi attuare tutte quelle procedure previste a salvaguardia del trattamento dei dati , impedendo  i trattamenti ad alto rischio per i diritti e le libertà fondamentali degli interessati.

Quindi, in termini pratici, occorre valutare  il rischio dei trattamenti dati ad elevato rischio ed adottare le misure di accountability  introdotti dal GDPR , con una mappatura ed attenta valutazione ( DPIA) dei trattamenti in ambiente smart working, implementato per e dall’emergenza anti- contagio .

La prima analisi di adeguamento alla normativa è rivolta a  valutare i possibili impatti negativi sui diritti e le libertà degli interessati  al fine di prevedere adeguate adozioni  delle misure di sicurezza necessarie a tutela del trattamento dati  .

E’ solo il caso di menzionare, per quel bisogno  supremo di deterrente,   che la mancanza di adeguate misure di sicurezza,  comporta sanzioni fino a 10 milioni di euro e al 2% del fatturato annuo  ; dunque , si comprende, è necessario che l’agire dell’ imprenditore debba essere tale da portare ad adeguare lo smart working,  alle stesse misure di tutela presenti in azienda

 

L’importanza della cyber security

La sicurezza dei dati è sempre  essenziale – e non solo in periodo di emergenza ; un tanto affinchè le prestazioni lavorative – e non solo quelle da remoto – non comportino problemi di sicurezza nel trattamento dei dati  ed è per questo motivo che  diventa  importante  occuparsi  di  Cyber security , considerato che nell’aere viaggiano  miliardi di dati,  di trasmissione di dati personali  , di archiviazioni , di consultazioni  .

Per evitare i rischi di furti, accessi abusivi , diffusioni dolose o colpose di dati personali , diventa fondamentale  la formazione dello smart worker – da attuarsi anche attraverso videoconferenza ) ed è questa la prima misura di adeguata sicurezza, ai sensi dell’art.32 del Regolamento :  ” il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione Europea o degli Stati Membri  “

 

Quali sono le misure di sicurezza dal punto di vista organizzativo e dal punto di vista del dipendente  in modalità smart working?

Se volessimo individuare una check list per la cyber security nelle aziende, dovremo cominciare a considerare  :

– le misure relative alla sicurezza dei sistemi utilizzati da remoto;

– le politiche delle organizzazioni per l’applicazione del lavoro agile ;

– le misure a carico del lavoratore agile .

– Le misure della sicurezza dei sistemi utilizzati da remoto

Solitamente si considera che lavorare all’esterno dell’azienda , sia sicuro come lavorare in ufficio.

Ma tale l’assioma può essere veritiero per quelle aziende strutturate che operavano secondo tale modalità,  anche prima dell’emergenza  e quindi  hanno in precedenza adottato strumenti adeguati alla modalità operativa , predisponendo dispositivi con applicativi per una fruizione remota, con software adeguati , dispositivi / telefonici virtuali , portali per la gestione  del tempo lavorativo : ad esempio sistema di rilevazione presenze  con adozione di un sistema organizzativo  ed efficientemente regolamentato.

Altre aziende – invece – non hanno sperimentato il lavoro in remoto o  ne hanno adottato in modo sporadico, senza prevedere i risvolti di sicurezza dei dati e l’uso di strumenti idonei.

Il dato di pericolosità  consta nel fatto  che i dipendenti usino i loro dispositivi personali per accedere al sistema aziendale, comprese le connessione di rete ( ADSL,WIFI ),  senza adeguare o modificare i parametri standard e quindi le password amministrative, disponibili attraverso una semplice ricerca su Google.

E’ di comune esperienza che utilizzando i dispositivi personali e non forniti dall’azienda , l’attenzione rispetto alle misure di sicurezza necessarie ed adeguate, tende ad essere sottovalutata e trascurata; ad esempio non ci si preoccupa dei sistemi antivirus e si sottovaluta il rischio di accedere  a siti pericolosi , download , normalmente connessi alla navigazione in rete .

In tale condizione vi è la possibilità che i computer  abbiano malware attivi o che le comunicazioni possano essere intercettate con facilità ,  ponendo in pericolo il sistema aziendale per trascuratezza e non curanza

Si tratta di rischi reali da non sottovalutare .

Il suggerimento in rimedio è di non utilizzare sistemi personali , neppure per svolgere le attività più semplici come leggere la posta elettronica, ma di utilizzare sempre i dispositivi forniti dall’azienda, per i quali devono essere attivi e verificati regolarmente i sistemi di sicurezza adeguati.

Diversamente,  il presidio personale dovrà essere dotato di un ottimo sistema tecnologico antivirus  ed in tal caso sarebbe buona precauzione attivare un’accurata scansione preventiva

Inoltre è sempre possibile utilizzare un sistema di gestione in remoto dal PC,  in modo tale che i tecnici aziendali possano monitorare  e gestire i problemi ( es: piattaforme Kaseya, Solarwind, MangerEngine)

E dunque , una volta stabilito il dispositivo prescelto e messo in sicurezza,  ci si può collegare ai sistemi aziendali con maggiori possibilità di interazione sicura .

Oppure si può pensare all’utilizzo di  “accessi remoti terminalizzati” : i più comunemente utilizzati sono Microsoft o Citrix , in questo caso l’elaborazione avviene in sicurezza sui sistemi aziendali e si evita interazione diretta tra il sistema remoto ed il sistema informativo aziendale, poiché viene aperta una sessione  che mostra l’elaborazione.

In altri casi si può ricorrere ad una connessione VPN , al canale di comunicazione “sicuro” tra il dispositivo remoto e l’azienda , attraverso Il quale si accede direttamente agli applicativi e ai dati aziendali.; in questo caso la criticità è data dal fatto che vi è diretto collegamento tra il dispositivo remoto ed il sistema informativo aziendale,  con il rischio che un software  negativo possa infettare il dispositivo remoto e da qui estendersi all’intero sistema. Per questo è necessario  avere  sistemi di filtraggio anti virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete

Ed infine va raccomandato il sistema di protezione del login in e quindi sarebbe bene usare un doppio sistema di autenticazione a due fattori con uso di codici e token, come per l’autorizzazione  richiesta dai sistemi bancari on line, in aggiunta alla normale  password. Altra precauzione è quella di aumentare il grado di complessità della password utilizzata e di cambiare con frequenza la password , anche una volta alla settimana esponendosi  a dimenticanze e conseguenti blocchi .

 

Le politiche organizzative

In un’ottica di tutela e prevenzione di contenzioso è necessario adottare una policy e regolamenti aziendali che contengono una dettagliata specificazione  dei sistemi di monitoraggio presenti sui device forniti allo smart worker, delle misure adottate e degli scopi per cui il monitoraggio viene effettuato.

La policy  consta in un disciplinare interno che indichi come utilizzare  gli strumenti aziendali e quali sono le regole da rispettare ; né è doverosa una stesura intellegibile e chiara , senza formule generiche; adeguatamente pubblicizzato ai singoli lavoratori e sottoposto ad aggiornamento periodico

Se il datore di lavoro installa software o utilizza di eventuali applicativi di log in /log out è necessario che il lavoratore presti il consenso all’installazione degli stessi sul proprio device , ed è necessario che il datore di lavoro fornisca una precisa informativa circa il loro esatto funzionamento, i dati rilevati, l’utilizzabilità o meno a fini disciplinari , il tempo di conservazione dei dati e l’identificazione della persona predisposta alla raccolta dei dati ( DPO -DATA PROTECTION OFFICER ).

Se lo smart worker ha device di proprietà dell’azienda, si considera ce questi già conoscesse il dispositivo utilizzato in smart working ed il funzionamento dei relativi software installati e per i quali il datore di lavoro aveva fornito adeguata informativa

 

Smart working dopo il 31 luglio 2020

Sono due le vie perseguibili  :

1) nel  caso di evento nefasto da scongiurare e di una situazione epidemiologica non migliorata , sarà necessario prorogare la durata della dichiarazione di emergenza sanitaria ;

2)  la situazione volge al miglioramento e quindi dal 1 agosto 2020,  prudenzialmente  si resta nella fase 2 o si passa a fasi di minor rigore e- quindi, nel caso di interesse – dovrebbero venire meno tutte le eccezioni dettate alla disciplina per lo smart working  previste dalla L.81/2017, in primis la deroga all’accordo individuale obbligatorio per la scelta volontaria del lavoro agile da parte dei dipendenti

Di fatto , come si dice – a prescindere-  la nuova pulsione della normativa emergenziale porterà a considerare il lavoro agile come una modalità ordinaria di svolgimento della prestazione lavorativa , in tutti i casi in cui sia possibile : quando potrà essere adottata tale  modalità senza rischi e apprezzabili difficoltà e senza calo della produttività.

Non dimentichiamo che è pesante l’effetto della responsabilità penale delineata  dalla possibilità che si concreti in azienda l’infortunio di lavoro per Covid ;  una corrente di pensiero imprenditoriale di fronte al possibile rischio  privilegia la permanenza del personale in smart working , invece di accellerare “piani di rientro” che appartengono a quella  diversa corrente,  presa dal timore atavico che il lavoratore fuori azienda, non si produttivo .

 

Smart working nel Piano Colao

8 giugno 2020 – presentazione del Piano Colao ( esperti incaricati di prevedere la ” rinascita” economica )    : è necessario monitorare e valutare l’utilizzo attuale dello smart working nella P.A.  ( dove è previsto che  la prestazione possa essere svolta in modalità agile anche attraverso strumenti informatici nella disponibilità del dipendente, qualora non siano forniti dal datore di lavoro e si rappresenta che smart working è modalità ordinaria della prestazione)   e delle imprese , per affrontare e implementare le modifiche della normativa oggi vigente.

Il dibattito è aperto in questo periodo , con alterne fortune e contraddittorie correnti di pensiero

Tuttavia resta il un dato normativo ( c.d. nuovo ” diritto genitoriale ” )   ai sensi del disposto di cui all’art. 90   DL 34/2020 :   fino alla cessazione dello stato di emergenza , i genitori dipendenti del settore privato che abbiano almeno un figlio  under 14 e non vi sia -nello stesso nucleo familiare-  altro genitore beneficiario di sostegno al reddito o che non vi sia  genitore non lavoratore,  costoro hanno diritto a svolgere la prestazione di lavoro in modalità agile , anche in assenza di accordi individuali, fermo restando gli obblighi informativi della L.81/2017, se la prestazione di interesse sia compatibile con le caratteristiche proprie della prestazione.

La modalità agile può essere applicata anche ai datori di lavoro privati ad ogni rapporto di lavoro subordinato, con conferma sempre dell’obbligo di comunicazione in modalità telematica semplificata all’Inail dei nominativi dei lavoratori e della data di cessazione della prestazione di lavoro in modalità agile

In definitiva  la modalità agile non è avversata per il futuro:  va regolamentata ,  “posta in sicurezza privacy” – nel senso anzi esposto –  ma può essere una  realtà da accogliere ed implementare , a tal punto che nel piano del titolare della task force , si propone l’adozione di un Codice etico dello smart working per individuare  i tempi degli impegni domestici e della cura della famiglia, in ottemperanza della legge 81/2017 per massimizzare la flessibilità del lavoro individuale, senza dimenticare di concordare momenti di lavoro “collettivo”,  di organizzazione di insieme e di disconnessione,  per adottare sistemi trasparenti di misurazione di obiettivi e produttività su criteri di performance basato  sui risultati .

 

Il Garante della Privacy

Nella recente occasione della relazione annuale  2019  il discorso del Garante della Privacy  offre riflessioni proprio al momento dello scadere del 31 luglio 2020 e davanti all’ affronto delle varie problematiche della modalità agile della prestazione lavorativa

Se il ritorno in  ufficio  potrebbe condurre  ad un riappropriarsi dei tempi e della vita in termini di ritorno alla cd normalità – ma alcuni sostengono che quella normalità è da dimenticare – la versione smart del lavoro potrebbe essere considerata un’eccezione oppure una nuova opportunità da valutare ed applicare costantemente . Si tratta di cogliere una nuova opportunità nel positivo di un’emergenza e di  regolamentare .

Ma è da verificare . Si è detto :  tutto  dipenderà dal  “corso o temuto ricorso storico”  della pandemia e si valuterà se la modalità del lavoro agile possa essere un’opportunità o – nuovamente- una necessità di lavoro .

Il Garante della  protezione dei dati personali ha  avvertito  i soggetti istituzionali ed il mondo imprenditoriale: la modalità in  smart working può rappresentare una nuova e praticabile forma di organizzazione lavorativa , a patto che possa essere garantita la disconnessione del lavoratore e che le piattaforme di condivisione di dati siano sicure.

Il ragionamento è logico: il lavoratore fuori sede non può restare in intera giornata collegato a mezzi tecnologici, fine settimana compresi ed essere reperibile nel tempo infinito ed indistinto da parte del datore di lavoro o dei superiori gerarchici.

Ed inoltre i dati condivisi sulle diverse piattaforme usate per il lavoro ed i contatti devono essere garantite da adeguate misure di sicurezza ed intangibile deve essere la riservatezza dei dati  e devono essere esclusi i rischi che i dati vengano inseriti in archivi finalizzati a profilare  abitudini, gusti , preferenze, opinioni.

Per questo occorre  necessariamente rinforzare la privacy su ogni dato e ad ogni livello ; tuona il monito del Garante nella Sala della Regina, a Montecitorio : la tutela dei dati , anche e soprattutto in periodo di pandemia è presupposto necessario della democrazia.

Il diritto  ” inquieto ” della riservatezza dei dati , in continua evoluzione  e in condizione di equilibrio  con gli interessi giuridici di raffronto,  con l’accelerazione impressa dall’esigenza pandemica alla transizione digitale ”  impone attenta valutazione e urgenza di esigenza regolatoria, anche sotto il profilo della sostenibilità di sempre più incisivi poteri privati ” .

Secondo il Garante Sorolo smart working potrebbe ragionevolmente divenire una forma diffusa , effettivamente alternativa di organizzazione del lavoro “ e tuttavia  non deve esservi l’uso della tecnologia per  monitorare sistematicamente la prestazione  lavorativa  e del luogo dove il lavoratore svolge la prestazione ; ed ancora  ” il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole  dal molto evocato modello coreano a quello cinese, scambiando la rinuncia ad ogni libertà per efficienza e la bio sorveglianza totalitaria per soluzione salvifica “.

Ed ancora di fronte al problema della sicurezza della rete rispetto a chi gestisce  i vari snodi e canali , in riferendosi alla sicurezza nazionale  ed  alla delocalizzazione in cloud  di attività rilevanti,  il Garante chiede a Parlamento e Governo se non sia dato investire in un’infrastruttura cloud pubblica, con stringenti requisiti di protezione, per riversare dati di tale importanza.

 

 In conclusione : alcuni suggerimenti

E’ buona norma per l’impresa – data controller ( titolare del trattamento ) dimostrare di aver rispettato il principio di accountability ( responsabilizzazione)  di cui all’art. 5, par.2 e dall’art.24 GDPR  al fine della corretta adozione delle misure tecniche e organizzative adeguate al fine della  prova di aver effettuato il trattamento conformemente al regolamento.

In adozione della modalità di prestazione lavorativa agile occorre aggiornare la valutazione dei rischi , ai sensi dell’art. 32 par.2 Reg.UE2016/679 e valutare attentamente il livello di sicurezza in riferimento al rischio di distruzione, perdita, modifica, divulgazione non autorizzata o accesso in modo accidentale o illegale a dati personali trasmessi, conservati o comunque trattati . Occorre valutare se procedere ad una valutazione di impatto privacy di cui all’art.35 REG UE 2016/679.

E’ importante affrontare la tematica importante della formazione dei lavoratori agili .

E’ necessario per le imprese ricorrere all’adozione di  una policy aziendale che riguardi con attenzione le modalità dell’uso dei dispositivi tecnologici ; dell’effettuazione dei controlli , che sia garantito il rispetto della normativa sulla sicurezza con specifiche direttive circa la navigazione sul web e l’utilizzo delle comunicazioni e mail.

E forse, mettere mano e regolamentare le misure di sicurezza informatica e di tecnologia nella  tutela del trattamento dei  dati , in adeguata previsione della forma di prestazione lavorativa agile,  va colta dal tempo di difficoltà , come apprezzamento positivo , come monito  per attuare e disciplinare opportunità di lavoro  ed organizzazione del lavoro,  per il futuro .[/vc_column_text][/vc_column][/vc_row]

Condividi l’articolo

Altri articoli