Smart working: come contemperare l’esigenza del controllo datoriale con la tutela dei dati personali

[vc_row css=”.vc_custom_1593673528559{padding-top: 7% !important;padding-right: 7% !important;padding-bottom: 7% !important;padding-left: 7% !important;}”][vc_column][vc_column_text]

di Carmen Triolo

La flessibilità della prestazione lavorativa agile nella concezione di una diversa organizzazione in ambiente c.d. “diffuso” del lavoro: come contemperare l’esigenza del controllo datoriale con la tutela dei dati personali

E’ chiamato smart working ( lavoro agile ) : modalità di prestazione dell’attività lavorativa che consente di svolgere – totalmente o parzialmente – il lavoro da casa o comunque fuori dai locali dell’azienda o dello studio, attraverso l’utilizzo di applicazioni tecnologiche come strumento di lavoro.

Smart worker ( lavoratore agile ): chi svolge la prestazione lavorativa in modalità agile

Non si tratta di una novità normativa introdotta dall’emergenza Covid -19 .

La definizione è risalente al dettato contenuto nella legge n. 81/2017: accordo scritto fra datore di lavoro e lavoratore subordinato che rende legittimo svolgere la prestazione lavorativa in tempi e luoghi diversi dai locali dell’azienda e dall’orario stabilito nei CCNL . Successivamente questa modalità di prestazione lavorativa si ritrova nella L. 145/2018 dd 30 dicembre 2018 ( Legge di Bilancio 2019 ) che prevede , in favore alle condizioni delle lavoratrici madri e dei genitori con figli in condizioni di disabilità, una corsia preferenziale per l’affidamento della modalità in smart working.

In tempo Covid -19 la chiusura obbligatoria delle attività produttive ha esteso il preesistente normativo a tutti i lavoratori in generale – dipendenti di pubbliche amministrazioni, liberi professionisti – figurando la modalità agile di rendere la prestazione lavorativa quale misura anti – contagio, massimamente caldeggiata attraverso i DPCM , in applicazione semplificata, per un ambiente di lavoro c.d. ” diffuso “, fuori da canoni di tempo prefissato e in luogo – anche diverso – da quello dell’ azienda.

Sino alla fine dell’emergenza – decretata per il 31 luglio 2020 – i lavoratori dipendenti disabili o che abbiano nel proprio nucleo familiare una persona con disabilità ( DPCM 17.3.2020 N.18) e per i genitori lavoratori dipendenti del settore privato, con almeno un figlio a carico minore degli anni 14 ( DPCM 19.5.2020 N.34 DECRETO “RILANCIO” ) viene riconosciuto il diritto al lavoro agile, a condizione che tale modalità sia compatibile con le caratteristiche della prestazione e secondo i requisiti previsti dalla legge .

Prendendo come linea di demarcazione, l’emergenza virale: in precedenza, lo smart working – previsto nel rapporto di lavoro subordinato – poneva in capo al datore di lavoro l’ obbligo di stabilire per iscritto che l’esecuzione della prestazione venisse svolta all’esterno o con cicli differenziati in azienda e fuori azienda.

Ed ancora, la previsione del dovere di disciplinare varie condizioni:

le condizioni affinchè il datore di lavoro potesse esercitare il proprio dovere direttivo;
quali strumenti dovessero essere impiegati dal lavoratore per rendere la prestazione ;
i tempi di riposo e le misure tecniche e organizzative che permettono un’effettiva disconnessione intellettuale del lavoratore dagli strumenti tecnologici, considerando la reperibilità del lavoratore nel tempo di lavoro ;
indicare la disciplina del potere di controllo sulla prestazione in smart working in combinato disposto con quanto previsto dall’art. 4 dello Statuto deli lavoratori;
indicare le condotte non ammesse nell’espletare la prestazione lavorativa a distanza e che possano prevedere l’applicazione di sanzioni disciplinari.

Dopo l’arrivo del Coronavirus, il DPCM 1 marzo 2020 è intervenuto sulle modalità di accesso allo smart working prevedendone una forma semplificata che può essere attivata – anche in carenza dell’accordo scritto previsto dall’art.19 della L. 81/2017 – ricorrendo alla documentazione resa disponibile sul sito INAIL per adempiere agli obblighi di informativa, con individuazione dei rischi generali e rischi specifici, connessi alla particolare modalità di esecuzione del rapporto di lavoro . Si tratta della modalità telematica prevista dalla Legge n.27 del 24 aprile 2020 attraverso una procedura di adesione attraverso SPID ( Sistema Pubblico di Identità Digitale) o in accesso diretto con credenziali ai servizi del Ministero del Lavoro e delle Politiche Sociali .

E dunque in tempo di emergenza virale, la modalità agile della prestazione lavorativa prevede che la disciplina prevista dall’art. 18 all’art. 23 della legge 22 marzo 2017 n. 81 (prescrizione in rapporto di lavoro subordinato, di un accordo scritto tra datore di lavoro e lavoratore , in conformità alle previsioni di legge e della contrattazione collettiva, con previo accordo delle rappresentanze sindacali ) possa essere applicata, anche in assenza degli accordi individuali, per la durata di sei mesi dello stato di emergenza e possa essere applicata dai datori di lavoro – imprese e professionisti – ad ogni tipo di lavoro subordinato sull’intero territorio nazionale, assolvendo in via telematica, agli obblighi di informativa sulla salute e sicurezza.

Flessibilità, autonomia organizzativa, produttività sono i concetti legati alla prestazione lavorativa agile

Vantaggi

– per il lavoratore : in termini di principio ed in generale, il lavoratore può godere della possibilità di una libera organizzazione della prestazione che potrebbe consentire di conciliare i tempi di vita e di lavoro;

– per il datore di lavoro: può rilevarsi interessante ridurre il sovraffollamento delle strutture, con vantaggio economico sui costi per gli spazi di lavoro e con possibile incremento degli operatori.

Aspetti problematici

– per il lavoratore: nell’applicazione pratica, il concetto di lavoro agile, non coincide strettamente con il significato di lavoro agevole ; il pensiero di poter coniugare al meglio casa e lavoro, ha dovuto constatare la ricerca della disponibilità di almeno una stanza della casa compatibile con la prestazione lavorativa da adempiere, all’interno di una coabitazione restrittiva e forzata con familiari e animali ; la divisione dei terminali con figli impegnati nella didattica a distanza , le numerose distrazioni proprie di un ambiente diverso da quello abituale ; e poi il perdurare del tempo da trascorrere in cattività per una estrema difficoltà psicologica , accanto all’improvvisazione – spesso – di mezzi e di tecnologie a supporto della prestazione lavorativa da assolvere ed di informative carenti sull’utilizzo , sui rischi dei diversi collegamenti in remoto;

– per il datore di lavoro: data per attestata e presupposta, la piena fiducia sulla serietà professionale del dipendente ” in modalità agile ” , tuttavia non può escludersi l’ascolto di quella voce interna – di imprenditoriale tonalità – che domanda quale possa essere il controllo e l’effettiva produzione del dipendente/ lavoratore, collegato da casa, senza lo stimolo alla produzione che l’adrenalina ” da posto di lavoro ” in azienda o ufficio, spinge ad eseguire la prestazione in tempi prestabiliti e controlli diretti .

Non che il problema del controllo datoriale sia collegato – solo ed esclusivamente – al momento della normativa anti-contagio di emergenza prevista per la modalità di prestazione lavorativa agile.

In tempi diversi – diremo ” ordinari “, senza pandemia – il problema del controllo datoriale e/o la responsabilità diretta del prestatore di attività lavorativa sono stati egualmente sottoposti a dura prova : ne sono esempio, i c.d. ” furbetti”: timbratori seriali , collezionisti di pass nominativi per inizio e fine turno di lavoro, timbrati per sé e per colleghi ” fantasmi” , assenti dal luogo di lavoro ; oppure si pensi ai tempi dilatati della cd ” pausa- caffè” estesi sino a comprendere la spesa al supermercato, una seduta dal parrucchiere, un giro di vasca in piscina o lo svolgimento in contestuale contemporaneità , di un secondo lavoro.

La fantasia estesa di artifizi e ai raggiri versus il rispetto al corretto meccanismo di lettura del tesserino di entrata ed uscita dal luogo di impiego: tematiche di ordinaria conclamata elusione del controllo datoriale – spesso rappresentato da una pubblica amministrazione – narrazioni approfondite che hanno impegnato intere pagine di cronaca stampata ed alimentato acuti dibattiti in salotti televisivi , sino alle carte bollate di imputazione penale.

Ma quali sono i tempi della prestazione lavorativa e quali i possibili controlli durante la modalità della prestazione lavorativa in smart working ?

Per il datore di lavoro e per il lavoratore – anche in tempo di emergenza – resta fermo l’obbligo di rispettare la disciplina prevista dalla L. 81/2017 con riguardo all’orario di lavoro, all’esercizio del potere organizzativo e di controllo del datore di lavoro, al diritto alla disconnessione; e resta consigliabile una apposita comunicazione- informativa fornita al lavoratore in applicazione smart working , anche in assenza dell’obbligo di un accordo scritto.

Sotto il profilo del controllo datoriale sussiste il divieto di utilizzo di apparecchiature per l’esclusiva finalità di controllo a distanza delle attività dei lavoratori. La deroga riguarda le esigenze organizzative, produttive o di sicurezza del lavoro o tutela del patrimonio aziendale ; in tali casi il datore di lavoro dovrebbe stipulare un previo accordo con le rappresentanze sindacali unitarie o aziendali o, in mancanza, previa autorizzazione amministrativa rilasciata dal competente Ispettorato del lavoro

Sono previste due tipologie di controllo :

mediante apparati audiovisivi;
mediante strumenti di lavoro ( telefono, computer, tablet etc ) o mediante software/applicativi per la registrazione degli accessi e delle presenze installati su dispositivi di lavoro in dotazione al dipendente.

Raccolta di dati dei lavoratori in smart working

Se il datore di lavoro vuole effettuare una raccolta dei dati in smart working, quali la tracciabilità da remoto con degli applicativi diversi, occorrerà attivare un Data Protection Officer , rilasciando una informativa integrata al lavoratore che renda edotti su quella che è la raccolta dei nuovi dati e dovranno essere individuate le risorse autorizzate dall’azienda all’accesso dei dati relativi ai lavoratori posti in remoto; dovranno essere adottate misure di sicurezza adeguate a tutelare eventuali dati sensibili o sensibilissimi e se si prevede l’uso di strumenti più invasivi, che consentono in ogni caso un controllo a distanza, andrà predisposto un DPIA ( Date Protection Impact Assessment) con tracciabilità di tutti i documenti, per l’ipotesi di contenzioso ; quindi , in caso di strumenti o software che comportino un controllo massivo dell’attività è doveroso in ogni caso informare il lavoratore e rispettare i principi di necessità e proporzionale pertinenza e non eccedenza .

Ne consegue che il datore di lavoro, nel pieno rispetto della normativa vigente in diritto del lavoro ed in applicazione di essa – nella situazione di emergenza , anche in questa fase attuale – potrebbe controllare lo smart worker, senza eliminare riservatezza ed autonomia nello svolgimento della prestazione, ma potrebbe anche utilizzare le informazioni lecitamente raccolte ai sensi dell’ ultimo comma dell’art.4 Statuto dei Lavoratori, in seguito alle modifiche apportate dallo Jobs Act prevede all’art. 3 che, in detti casi, dispone che il lavoratore riceva adeguata informazione riguardo alla modalità d’uso degli strumenti e riguardo alla possibilità di effettuazione dei controlli ( policy aziendale) e nel rispetto della normativa privacy con l’osservanza dei principi privacy by design e privacy by default ( Regolamento UE 2016/679 e D.Lgs 196/2003, come modificato da D.Lgs n.101/2018).

In merito il Garante per il trattamento dei dati personali, nel provvedimento n.303 del 13 luglio 2016 ha specificato che se i sistemi software che effettuano operazioni di monitoraggio , di filtraggio, controllo, sono installati in modalità percepibile dall’utente e in modo indipendente rispetto alla normale attività dell’utilizzatore, senza interferire sul lavoratore del dipendente , questi non possono essere considerati ” strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa “; in questa nozione possono ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa

E nel tempo di ampia applicazione della modalità in smart working si apre lo scenario della tutela dei dati e del trattamento dei dati, da analizzare sotto un duplice profilo :

– per il datore di lavoro: aumenta il rischio che i dati – personali ed aziendali – di cui è titolare vengano trattati in modalità remota dal lavoratore senza che siano rispettate quelle misure organizzative e/o tecniche adottate dal datore di lavoro a garanzia di liceità e correttezza del trattamento;

– per il lavoratore : il rischio consta nella possibilità di ingresso del datore di lavoro nella propria vita personale e privata.

Come affrontare i rischi del trattamento dei dati e come appurare se il trattamento sia strettamente necessario ai fini dell’organizzazione imprenditoriale , nel rispetto del principio informatore della privacy di minimizzazione ?

Sotto tale profilo si ricorda nel recente passato, l’ampio dibattito riguardo alle iniziative emergenziali di sorveglianza sanitaria, concordate con la parti sociali ( Protocollo 24 aprile 2020 – tema di trattazione di precedente articolo pubblicato in questo sito ) con ogni relativa problematica concernente le rivelazioni diagnostiche effettuabili dal datore di lavoro. Per non tacere , sotto medesimo aspetto, del proliferare di truffe informatiche alimentato dal panico della gente es : phishing e furti di identità on line di persone esasperate dalla ricerca di presidi sanitari di protezione e farmaci salvavita; oppure si pensi alla diffusione di dati identificativi di presunti untori tramite social sino ad arrivare a mezzi di pubblica informazione .

E come non considerare – ancora – le vulnerabilità di cybersecurity , evidenziate da alcune piattaforme di utilizzo per interazione sociale , professionale o scolastica ( es: video conferenza Zoom Meeting ) ; e poi il grave data breach che ha interessato il sito INPS- definito caso emblematico dal Garante della Privacy – ed occorso nella partizione dedicata alle richieste di misure emergenziali di sostegno economico .

Sono esperienze assai recenti che parlano di estesa difficoltà di protezione dei dati personali e riservati.

In effetti , si conosce, il rapporto tra privacy e pandemia è complicato ; d’altronde, ogni volta che una questione di sicurezza nazionale si manifesta , in generale, in contro-altare sale il sentore che le tutele sui dati e sulla privacy siano abdicabili . Un tanto , anche se , la normativa di data protection , al verificarsi di eventi straordinari, prevede meccanismi di flessibilità, che consentono di adeguare – senza eludere – la protezione di diritti fondamentali che tali sono e restano, anche in tempo di pandemia.

Si tratta di contemperamento , di bilanciamento : è priorità la tutela della salute pubblica , ma tanto non significa che vengano automaticamente eluse o annientate altre tutele di rilevanti diritti ( si parla infatti di ” compressione” di flessibilità, in emergenza : per un tempo misurato e secondo criteri di protezione ).

Ed in tempo di pandemia l’adozione dello smart working da opzione sporadica – normativamente prevista – – è diventata una soluzione obbligata, facilitata dal fatto che i lavoratori sono attualmente, in maggioranza dotati di un computer domestico e di una stampante, spesso di una connessione flat ad alta velocità, in modo tale da poter assicurare la prestazione , anche quando il datore di lavoro non abbia fornito le dotazioni ICT per agevolare il lavoro.

Sotto la lente della normativa privacy – intesa come sicurezza dei dati – i progetti di smart working comportano il coinvolgimento dell’intera organizzazione aziendale, cui consegue una maggiore responsabilizzazione ( accountability ) dei lavoratori / autorizzati, dotati di maggiore autonomia ed orientati a risultati della prestazione ; obiettivi che risultano maggiormente avvertiti dal prestatore di attività, rispetto al lavoro svolto in modo tradizionale.

In materia di controllo datoriale sulla prestazione lavorativa agile, il richiamo del Garante della Privacy durante l’audizione in Commissione del Lavoro al Senato tenuta il 13.5.2020, è nel senso di evitare un “ uso improvvisato dello smart working” ; al pari, la raccomandazione del Garante è di evitare ” l’uso sistematico e pervasivo dei sistemi di monitoraggio dell’attività compiuta dal dipendente che lavora da casa ” secondo quanto previsto dalla normativa di settore.

In sintesi : i “dettati ” della normativa privacy rispetto alla modalità agile della prestazione lavorativa

– E’ tassativo il divieto imposto al il datore di lavoro di fornire ai lavoratori pc, smartphone o altri strumenti dotati di funzionalità per il monitoraggio sistematico e pervasivo del lavoratore.

– Va garantito il diritto alla disconnessione, per non negare la necessaria definizione tra spazi di vita privata ed attività lavorativa, con il rischio di annullare alcune tra le più antiche conquiste nel lavoro tradizionale .

– Va affermato il diritto alla protezione dei dati per l’affermazione del l diritto di autodeterminazione del lavoratore .

Tanto premesso, nello specifico , il decreto del Presidente del Consiglio dei Ministri che ha esteso l’adozione della modalità smart working in forma semplificata , non ha prescritto particolari adempimenti in termini di sicurezza dei dati personali in relazione all’utilizzo di pc, tablet, smartphone personali e/o device aziendali .

Si è trattato di emergenza ? Certo !

L’emergenza è stata tale, imprevista e bloccante e non ha consentito di provvedere in tempo per l’utilizzo ai propri device delle misure di sicurezza richieste per la salvaguardia dei dati; ne è stata conseguenza l’adozione in tutela dati di misure fittizie, non regolamentate , improntate all’improvvisazione del ” far da sé ” ed all’esigenza di garantire un minimo di attività produttiva .

Ne è discesa, come inevitabile conseguenza, la carenza di una policy di sicurezza dei dati, che essendo prevista e presente all’interno dei locali dell’azienda, non è stata adottata per l’ambiente di lavoro c.d. diffuso; dove lo spostarsi della prestazione lavorativa in altro luogo diverso dall’azienda , ha portato a diffondere un’enorme massa di dati personali, messi a disposizione di dipendenti e collaboratori all’esterno dell’impresa.

Sul punto l’Osservatorio Smart working del Politecnico di Milano ha dichiarato che il 58% delle grandi imprese ha adottato iniziative di promozione del lavoro flessibile, mentre le PMI avrebbero adottato progetti strutturati per il 12% ; il 16% di progetti strutturati in smart working per la P.A.

Invero la modalità flessibile del lavoro agile, richiede un uso sapiente dell’innovazione digitale , ma anche una governance integrata e una evoluzione dei modelli organizzativi aziendali .

E’ di evidenza che all’interno di tale cornice, le tecnologie digitali che ampliano e diffondono in modo virtuale lo spazio di lavoro ed il tempo del lavoro , facilitano la creazione di network professionali e sviluppano diverse modalità ed organizzazione di lavoro.

D’altro lato è evidente , al contempo, che con l’emergenza ed il diffondersi del lavoro agile, diventata una esigenza improvvisa, i dati personali sono stati portati all’esterno dell’azienda e senza adeguata protezione, il rischio di furti , modifiche, perdite accessi non autorizzati e altre possibilità in violazione della protezione, possono diffondersi e moltiplicarsi

Sotto tale profilo, molti i quesiti rivolti al Garante da parte dei soggetti pubblici e privati in relazione alla possibilità di trattamento dei dati relativi allo stato di salute, ma altrettanto cogente è stata l’adozione di una disciplina necessaria e puntuale del trattamento delle varie tipologie di dati personali, che vengono usati con disinvoltura da casa, in uno smart working, tanto diffuso e necessario, quanto non programmato ed adeguato in termini di tutela dati .

Ed ora che la modalità smart working con il decreto ” Rilancio ” ( art. 90 del DL n.34/2020) e Piano Colao viene richiesto e forse prorogato anche per il futuro , oltre il termine prefissato al 31 luglio 2020 , cosa succede ?

Quali gli adeguamenti necessari per il lavoro agile sotto il profilo di una strutturata tutela del trattamento dei dati sensibili ?

Da un lato occorre considerare che dipendenti e collaboratori , in qualità di autorizzati al trattamento dati , in ogni caso nel periodi di emergenza, dovrebbero essere stati iniziati e formati sotto precise istruzioni , ricevute dal datore di lavoro per la salvaguardia dei dati personali che essi trattano nell’ adempimento della prestazione , ma le direttive aziendali e le procedure di sicurezza, raramente, si estendono al trattamento fuori dai locali dell’azienda.

Per rispondere all’esigenza in modo semplice — solo in apparenza semplicista – si deve affermare la necessità di rispettare la normativa GDPR e quindi attuare tutte quelle procedure previste a salvaguardia del trattamento dei dati , impedendo i trattamenti ad alto rischio per i diritti e le libertà fondamentali degli interessati.

Quindi, in termini pratici, occorre valutare il rischio dei trattamenti dati ad elevato rischio ed adottare le misure di accountability introdotti dal GDPR , con una mappatura ed attenta valutazione ( DPIA) dei trattamenti in ambiente smart working, implementato per e dall’emergenza anti- contagio .

La prima analisi di adeguamento alla normativa è rivolta a valutare i possibili impatti negativi sui diritti e le libertà degli interessati al fine di prevedere adeguate adozioni delle misure di sicurezza necessarie a tutela del trattamento dati .

E’ solo il caso di menzionare, per quel bisogno supremo di deterrente, che la mancanza di adeguate misure di sicurezza, comporta sanzioni fino a 10 milioni di euro e al 2% del fatturato annuo ; dunque , si comprende, è necessario che l’agire dell’ imprenditore debba essere tale da portare ad adeguare lo smart working, alle stesse misure di tutela presenti in azienda

L’importanza della cyber security

La sicurezza dei dati è sempre essenziale – e non solo in periodo di emergenza ; un tanto affinchè le prestazioni lavorative – e non solo quelle da remoto – non comportino problemi di sicurezza nel trattamento dei dati ed è per questo motivo che diventa importante occuparsi di Cyber security , considerato che nell’aere viaggiano miliardi di dati, di trasmissione di dati personali , di archiviazioni , di consultazioni .

Per evitare i rischi di furti, accessi abusivi , diffusioni dolose o colpose di dati personali , diventa fondamentale la formazione dello smart worker – da attuarsi anche attraverso videoconferenza ) ed è questa la prima misura di adeguata sicurezza, ai sensi dell’art.32 del Regolamento : ” il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione Europea o degli Stati Membri “

Quali sono le misure di sicurezza dal punto di vista organizzativo e dal punto di vista del dipendente in modalità smart working?

Se volessimo individuare una check list per la cyber security nelle aziende, dovremo cominciare a considerare :

– le misure relative alla sicurezza dei sistemi utilizzati da remoto;

– le politiche delle organizzazioni per l’applicazione del lavoro agile ;

– le misure a carico del lavoratore agile .

– Le misure della sicurezza dei sistemi utilizzati da remoto

Solitamente si considera che lavorare all’esterno dell’azienda , sia sicuro come lavorare in ufficio.

Ma tale l’assioma può essere veritiero per quelle aziende strutturate che operavano secondo tale modalità, anche prima dell’emergenza e quindi hanno in precedenza adottato strumenti adeguati alla modalità operativa , predisponendo dispositivi con applicativi per una fruizione remota, con software adeguati , dispositivi / telefonici virtuali , portali per la gestione del tempo lavorativo : ad esempio sistema di rilevazione presenze con adozione di un sistema organizzativo ed efficientemente regolamentato.

Altre aziende – invece – non hanno sperimentato il lavoro in remoto o ne hanno adottato in modo sporadico, senza prevedere i risvolti di sicurezza dei dati e l’uso di strumenti idonei.

Il dato di pericolosità consta nel fatto che i dipendenti usino i loro dispositivi personali per accedere al sistema aziendale, comprese le connessione di rete ( ADSL,WIFI ), senza adeguare o modificare i parametri standard e quindi le password amministrative, disponibili attraverso una semplice ricerca su Google.

E’ di comune esperienza che utilizzando i dispositivi personali e non forniti dall’azienda , l’attenzione rispetto alle misure di sicurezza necessarie ed adeguate, tende ad essere sottovalutata e trascurata; ad esempio non ci si preoccupa dei sistemi antivirus e si sottovaluta il rischio di accedere a siti pericolosi , download , normalmente connessi alla navigazione in rete .

In tale condizione vi è la possibilità che i computer abbiano malware attivi o che le comunicazioni possano essere intercettate con facilità , ponendo in pericolo il sistema aziendale per trascuratezza e non curanza

Si tratta di rischi reali da non sottovalutare .

Il suggerimento in rimedio è di non utilizzare sistemi personali , neppure per svolgere le attività più semplici come leggere la posta elettronica, ma di utilizzare sempre i dispositivi forniti dall’azienda, per i quali devono essere attivi e verificati regolarmente i sistemi di sicurezza adeguati.

Diversamente, il presidio personale dovrà essere dotato di un ottimo sistema tecnologico antivirus ed in tal caso sarebbe buona precauzione attivare un’accurata scansione preventiva

Inoltre è sempre possibile utilizzare un sistema di gestione in remoto dal PC, in modo tale che i tecnici aziendali possano monitorare e gestire i problemi ( es: piattaforme Kaseya, Solarwind, MangerEngine)

E dunque , una volta stabilito il dispositivo prescelto e messo in sicurezza, ci si può collegare ai sistemi aziendali con maggiori possibilità di interazione sicura .

Oppure si può pensare all’utilizzo di “accessi remoti terminalizzati” : i più comunemente utilizzati sono Microsoft o Citrix , in questo caso l’elaborazione avviene in sicurezza sui sistemi aziendali e si evita interazione diretta tra il sistema remoto ed il sistema informativo aziendale, poiché viene aperta una sessione che mostra l’elaborazione.

In altri casi si può ricorrere ad una connessione VPN , al canale di comunicazione “sicuro” tra il dispositivo remoto e l’azienda , attraverso Il quale si accede direttamente agli applicativi e ai dati aziendali.; in questo caso la criticità è data dal fatto che vi è diretto collegamento tra il dispositivo remoto ed il sistema informativo aziendale, con il rischio che un software negativo possa infettare il dispositivo remoto e da qui estendersi all’intero sistema. Per questo è necessario avere sistemi di filtraggio anti virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete

Ed infine va raccomandato il sistema di protezione del login in e quindi sarebbe bene usare un doppio sistema di autenticazione a due fattori con uso di codici e token, come per l’autorizzazione richiesta dai sistemi bancari on line, in aggiunta alla normale password. Altra precauzione è quella di aumentare il grado di complessità della password utilizzata e di cambiare con frequenza la password , anche una volta alla settimana esponendosi a dimenticanze e conseguenti blocchi .

Le politiche organizzative

In un’ottica di tutela e prevenzione di contenzioso è necessario adottare una policy e regolamenti aziendali che contengono una dettagliata specificazione dei sistemi di monitoraggio presenti sui device forniti allo smart worker, delle misure adottate e degli scopi per cui il monitoraggio viene effettuato.

La policy consta in un disciplinare interno che indichi come utilizzare gli strumenti aziendali e quali sono le regole da rispettare ; né è doverosa una stesura intellegibile e chiara , senza formule generiche; adeguatamente pubblicizzato ai singoli lavoratori e sottoposto ad aggiornamento periodico

Se il datore di lavoro installa software o utilizza di eventuali applicativi di log in /log out è necessario che il lavoratore presti il consenso all’installazione degli stessi sul proprio device , ed è necessario che il datore di lavoro fornisca una precisa informativa circa il loro esatto funzionamento, i dati rilevati, l’utilizzabilità o meno a fini disciplinari , il tempo di conservazione dei dati e l’identificazione della persona predisposta alla raccolta dei dati ( DPO -DATA PROTECTION OFFICER ).

Se lo smart worker ha device di proprietà dell’azienda, si considera ce questi già conoscesse il dispositivo utilizzato in smart working ed il funzionamento dei relativi software installati e per i quali il datore di lavoro aveva fornito adeguata informativa

Smart working dopo il 31 luglio 2020

Sono due le vie perseguibili :

1) nel caso di evento nefasto da scongiurare e di una situazione epidemiologica non migliorata , sarà necessario prorogare la durata della dichiarazione di emergenza sanitaria ;

2) la situazione volge al miglioramento e quindi dal 1 agosto 2020, prudenzialmente si resta nella fase 2 o si passa a fasi di minor rigore e- quindi, nel caso di interesse – dovrebbero venire meno tutte le eccezioni dettate alla disciplina per lo smart working previste dalla L.81/2017, in primis la deroga all’accordo individuale obbligatorio per la scelta volontaria del lavoro agile da parte dei dipendenti

Di fatto , come si dice – a prescindere- la nuova pulsione della normativa emergenziale porterà a considerare il lavoro agile come una modalità ordinaria di svolgimento della prestazione lavorativa , in tutti i casi in cui sia possibile : quando potrà essere adottata tale modalità senza rischi e apprezzabili difficoltà e senza calo della produttività.

Non dimentichiamo che è pesante l’effetto della responsabilità penale delineata dalla possibilità che si concreti in azienda l’infortunio di lavoro per Covid ; una corrente di pensiero imprenditoriale di fronte al possibile rischio privilegia la permanenza del personale in smart working , invece di accellerare “piani di rientro” che appartengono a quella diversa corrente, presa dal timore atavico che il lavoratore fuori azienda, non si produttivo .

Smart working nel Piano Colao

8 giugno 2020 – presentazione del Piano Colao ( esperti incaricati di prevedere la ” rinascita” economica ) : è necessario monitorare e valutare l’utilizzo attuale dello smart working nella P.A. ( dove è previsto che la prestazione possa essere svolta in modalità agile anche attraverso strumenti informatici nella disponibilità del dipendente, qualora non siano forniti dal datore di lavoro e si rappresenta che smart working è modalità ordinaria della prestazione) e delle imprese , per affrontare e implementare le modifiche della normativa oggi vigente.

Il dibattito è aperto in questo periodo , con alterne fortune e contraddittorie correnti di pensiero

Tuttavia resta il un dato normativo ( c.d. nuovo ” diritto genitoriale ” ) ai sensi del disposto di cui all’art. 90 DL 34/2020 : fino alla cessazione dello stato di emergenza , i genitori dipendenti del settore privato che abbiano almeno un figlio under 14 e non vi sia -nello stesso nucleo familiare- altro genitore beneficiario di sostegno al reddito o che non vi sia genitore non lavoratore, costoro hanno diritto a svolgere la prestazione di lavoro in modalità agile , anche in assenza di accordi individuali, fermo restando gli obblighi informativi della L.81/2017, se la prestazione di interesse sia compatibile con le caratteristiche proprie della prestazione.

La modalità agile può essere applicata anche ai datori di lavoro privati ad ogni rapporto di lavoro subordinato, con conferma sempre dell’obbligo di comunicazione in modalità telematica semplificata all’Inail dei nominativi dei lavoratori e della data di cessazione della prestazione di lavoro in modalità agile

In definitiva la modalità agile non è avversata per il futuro: va regolamentata , “posta in sicurezza privacy” – nel senso anzi esposto – ma può essere una realtà da accogliere ed implementare , a tal punto che nel piano del titolare della task force , si propone l’adozione di un Codice etico dello smart working per individuare i tempi degli impegni domestici e della cura della famiglia, in ottemperanza della legge 81/2017 per massimizzare la flessibilità del lavoro individuale, senza dimenticare di concordare momenti di lavoro “collettivo”, di organizzazione di insieme e di disconnessione, per adottare sistemi trasparenti di misurazione di obiettivi e produttività su criteri di performance basato sui risultati .

Il Garante della Privacy

Nella recente occasione della relazione annuale 2019 il discorso del Garante della Privacy offre riflessioni proprio al momento dello scadere del 31 luglio 2020 e davanti all’ affronto delle varie problematiche della modalità agile della prestazione lavorativa

Se il ritorno in ufficio potrebbe condurre ad un riappropriarsi dei tempi e della vita in termini di ritorno alla cd normalità – ma alcuni sostengono che quella normalità è da dimenticare – la versione smart del lavoro potrebbe essere considerata un’eccezione oppure una nuova opportunità da valutare ed applicare costantemente . Si tratta di cogliere una nuova opportunità nel positivo di un’emergenza e di regolamentare .

Ma è da verificare . Si è detto : tutto dipenderà dal “corso o temuto ricorso storico” della pandemia e si valuterà se la modalità del lavoro agile possa essere un’opportunità o – nuovamente- una necessità di lavoro .

Il Garante della protezione dei dati personali ha avvertito i soggetti istituzionali ed il mondo imprenditoriale: la modalità in smart working può rappresentare una nuova e praticabile forma di organizzazione lavorativa , a patto che possa essere garantita la disconnessione del lavoratore e che le piattaforme di condivisione di dati siano sicure.

Il ragionamento è logico: il lavoratore fuori sede non può restare in intera giornata collegato a mezzi tecnologici, fine settimana compresi ed essere reperibile nel tempo infinito ed indistinto da parte del datore di lavoro o dei superiori gerarchici.

Ed inoltre i dati condivisi sulle diverse piattaforme usate per il lavoro ed i contatti devono essere garantite da adeguate misure di sicurezza ed intangibile deve essere la riservatezza dei dati e devono essere esclusi i rischi che i dati vengano inseriti in archivi finalizzati a profilare abitudini, gusti , preferenze, opinioni.

Per questo occorre necessariamente rinforzare la privacy su ogni dato e ad ogni livello ; tuona il monito del Garante nella Sala della Regina, a Montecitorio : la tutela dei dati , anche e soprattutto in periodo di pandemia è presupposto necessario della democrazia.

Il diritto ” inquieto ” della riservatezza dei dati , in continua evoluzione e in condizione di equilibrio con gli interessi giuridici di raffronto, con l’accelerazione impressa dall’esigenza pandemica alla transizione digitale ” impone attenta valutazione e urgenza di esigenza regolatoria, anche sotto il profilo della sostenibilità di sempre più incisivi poteri privati ” .

Secondo il Garante Soro ” lo smart working potrebbe ragionevolmente divenire una forma diffusa , effettivamente alternativa di organizzazione del lavoro “ e tuttavia non deve esservi l’uso della tecnologia per monitorare sistematicamente la prestazione lavorativa e del luogo dove il lavoratore svolge la prestazione ; ed ancora ” il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal molto evocato modello coreano a quello cinese, scambiando la rinuncia ad ogni libertà per efficienza e la bio sorveglianza totalitaria per soluzione salvifica “.

Ed ancora di fronte al problema della sicurezza della rete rispetto a chi gestisce i vari snodi e canali , in riferendosi alla sicurezza nazionale ed alla delocalizzazione in cloud di attività rilevanti, il Garante chiede a Parlamento e Governo se non sia dato investire in un’infrastruttura cloud pubblica, con stringenti requisiti di protezione, per riversare dati di tale importanza.

In conclusione : alcuni suggerimenti

E’ buona norma per l’impresa – data controller ( titolare del trattamento ) dimostrare di aver rispettato il principio di accountability ( responsabilizzazione) di cui all’art. 5, par.2 e dall’art.24 GDPR al fine della corretta adozione delle misure tecniche e organizzative adeguate al fine della prova di aver effettuato il trattamento conformemente al regolamento.

In adozione della modalità di prestazione lavorativa agile occorre aggiornare la valutazione dei rischi , ai sensi dell’art. 32 par.2 Reg.UE2016/679 e valutare attentamente il livello di sicurezza in riferimento al rischio di distruzione, perdita, modifica, divulgazione non autorizzata o accesso in modo accidentale o illegale a dati personali trasmessi, conservati o comunque trattati . Occorre valutare se procedere ad una valutazione di impatto privacy di cui all’art.35 REG UE 2016/679.

E’ importante affrontare la tematica importante della formazione dei lavoratori agili .

E’ necessario per le imprese ricorrere all’adozione di una policy aziendale che riguardi con attenzione le modalità dell’uso dei dispositivi tecnologici ; dell’effettuazione dei controlli , che sia garantito il rispetto della normativa sulla sicurezza con specifiche direttive circa la navigazione sul web e l’utilizzo delle comunicazioni e mail.

E forse, mettere mano e regolamentare le misure di sicurezza informatica e di tecnologia nella tutela del trattamento dei dati , in adeguata previsione della forma di prestazione lavorativa agile, va colta dal tempo di difficoltà , come apprezzamento positivo , come monito per attuare e disciplinare opportunità di lavoro ed organizzazione del lavoro, per il futuro .[/vc_column_text][/vc_column][/vc_row]

Condividi l’articolo

Categorie

Altri articoli

Responsabilità medica e danno da riduzione della capacità lavorativa: utilizzabilità della prova presuntiva nei casi di grave invalidità

12 Novembre 2024

Con la recente pronuncia n. 27353/2024, depositata in data 22.10.2024, la Corte Suprema di Cassazione è tornata ad occuparsi di responsabilità medica e prova del

IOOS a Euro Latam Lex 2024: un evento internazionale sul futuro del diritto

8 Novembre 2024

Siamo orgogliosi di annunciare che gli avvocati Michele Brunetta, Enzo Pisa e Giovanna Amato di IOOS parteciperanno come relatori all’importante evento Euro Latam Lex 2024,

Secondo la Corte di Cassazione l’invio del solo frontespizio della dichiarazione dei redditi non può considerarsi omessa

5 Ottobre 2024

La presentazione in via telematica del solo frontespizio della dichiarazione fiscale, regolarmente accettato dal sistema informatico con tanto di ricevuta di protocollo, è equiparata alla

Il termine di decadenza ex art. 32, c. 3, lett. b), della L. 183/2010 (c.d. “Collegato Lavoro”) non si applica ai rapporti di agenzia

19 Settembre 2024

Con ordinanza n. 23348/2024 dello scorso 29 agosto, la Corte di Cassazione, richiamandosi ad una propria precedente pronuncia (Cass. 8964/2021), ha affermato che, in tema

Whistleblowing: la Cassazione stabilisce i confini della protezione per i lavoratori

3 Settembre 2024

Il whistleblowing è un meccanismo legale che consente ai lavoratori di segnalare comportamenti illeciti o irregolari all’interno della propria azienda o istituzione. Queste segnalazioni possono

La responsabilità della ASL per il fatto colposo del medico di base

26 Luglio 2024

Con la pronuncia n. 14846/2024, depositata in data 28.5.2024, la Corte Suprema di Cassazione è tornata ad occuparsi della responsabilità della ASL (Azienda Sanitaria Locale)

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Smart working: come contemperare l’esigenza del controllo datoriale con la tutela dei dati personali