SMART WORKING E PRIVACY: OBBLIGHI DEL DATORE DI LAVORO E DELLO SMART WORKER
Lo smart working, che nel 2019 riguardava soltanto 570.000 lavoratori (Fonte: Ministero del Lavoro e delle Politiche sociali), in pieno lockdown ha interessato circa sei milioni di dipendenti, ed a settembre, anche se il dato è ancora parziale, ne riguardava circa 4 milioni; si stima inoltre che il 58% di questi ultimi manterranno tale modalità lavorativa anche nel 2021 (Fonte: il Sole24ore).
Davanti a numeri di questo genere, è purtroppo innegabile che la maggior parte delle aziende, in special modo le PMI, si sia rivelata severamente impreparata sotto svariati profili, tra i quali quello delicatissimo della tutela dei dati personali. E la medesima considerazione vale, seppur in misura minore, anche per i lavoratori agili.
- SMART WORKING E COMPLIANCE DEL DATORE DI LAVORO AL REG. EU 679/2016 (G.D.P.R.)
Nell’ambito della data governance, l’implementazione del lavoro agile coinvolge tutta l’organizzazione aziendale poiché comporta un incremento di responsabilizzazione (c.d. “accountability”) del datore di lavoro.
Il Regolamento impone infatti a quest’ultimo, quale titolare del trattamento, di riesaminare ed aggiornare le misure tecniche ed organizzative adottate qualora ciò si renda, come nel caso di specie, necessario (art. 24 G.D.P.R. [1]) in ossequio al suddetto principio di accountability cui è improntato l’intero Regolamento Europeo n. 679/2016.
In quali adempimenti si traduce in pratica tale affermazione? Cosa deve fare il datore di lavoro? Di seguito, e senza pretesa di esaustività, un elenco dei principali adempimenti:
(i) Analizzare e mappare i trattamenti: significa individuare i nuovi trattamenti che vengono fatti in conseguenza del ricorso al lavoro agile, quali sono i dati coinvolti, da chi vengono trattati e come, con quali strumenti, quali sono le modalità di utilizzo dei medesimi dati e quali sono le istruzioni da fornire agli smart workers che li gestiranno.
Alcuni esempi pratici: il datore di lavoro attiva una VPN (Virtual Private Network) per il collegamento da casa per i dipendenti ai quali fornirà le credenziali per il login; dota i dipendenti di devices acquistandoli o noleggiandoli da terzi, oppure consente loro di utilizzare quelli privati (c.d. BYOID Bring Your Own Device), etc.
Questi e molti altri costituiscono nuovi asset che devono essere mappati, gestiti e regolamentati ad hoc attraverso l’analisi dei rischi che il datore di lavoro effettua con la c.d. Valutazione d’impatto sulla protezione dei dati (D.P.I.A. Data Privacy Impact Assessment) ex art. 35 G.D.P.R. [2].
La D.P.I.A. è una procedura volta a descrivere uno o più trattamenti analoghi per natura, ambito, contesto, finalità e rischi, al fine di vagliarne necessità, proporzionalità e rischi onde adottare le idonee misure di sicurezza. Con la sua effettuazione il datore è compliant a quanto prescritto dal sopra citato art. 24 e dagli artt. 25 [3] e 32 [4] G.D.P.R.
(ii) Integrare il Registro dei trattamenti ai sensi dell’art. 30 G.D.P.R.[5] con i nuovi elementi che riguardano le attività in smart working (trattamenti, banche dati, misure di sicurezza, out sourcing, etc.).
(iii) Integrare l’Informativa ex artt. 12 [6] e 13 [7] G.D.P.R.. ai lavoratori agili in caso di eventuali nuovi trattamenti connessi a tale modalità di lavoro quale, ad es., il trattamento dei dati personali del lavoratore agile raccolti mediante l’utilizzo di strumenti di controllo – vedasi punto (v).
(iv) Predisporre specifiche attività di formazione tese a fornire allo smart worker i necessari strumenti di conoscenza e consapevolezza, unitamente alla predisposizione di specifiche policy o implementazione di quelle già esistenti, su cui anche formare gli stessi lavoratori.
(v) Valutare ai sensi del G.D.P.R. nel suo complesso e dello Statuto dei Lavoratori l’eventuale potenziale invasivo di sistemi di monitoraggio della rete aziendale e dell’utilizzo dei devices.
(vi) Verificare la conformità al G.D.P.R. dei servizi, quali ad es. piattaforme, clouds, etc., forniti da terzi,valutando la necessità di stipulare “data processing agreement” (art. 28 G.D.P.R. [8]) o, se già in essere, la loro adeguatezza.
(vii) Predisporre, o implementare ove già esistente, una procedura di “data breach” (artt. 33 e 34 G.D.P.R. [9]) della quale i lavoratori agili devono essere specificamente informati, dovendo essi dare tempestiva notizia al datore di lavoro qualora si verificasse una violazione di dati personali oggetto di trattamento, che ponga a rischio i diritti e le libertà della loro persona.
(viii) Garantire la condivisione di files e contenuti tra i lavoratori interessati tramite clouds particolarmente evoluti in termini di sicurezza.
(ix) Associare alle chiavi di sicurezza per l’accesso ai dati, elementi ulteriori, quali ad esempio, apposite card token.
(x) Assicurarsi che il dispositivo utilizzato dallo smart worker sia dotato di un efficace software antivirus e antimalware.
(xi) Effettuare periodicamente – e costantemente – il back up delle informazioni.
Fermo tutto quanto precede, è doveroso rilevare che a tutt’oggi la regolamentazione dello strumento in esame è in larga misura devoluta all’accordo one-to-one, che rischia di violare i principi fondanti della L. 81/2017 e della normativa sulla protezione dei dati.
E’ pertanto auspicabile, nell’attesa di una normazione specifica ed unitaria da parte del legislatore, una contrattualizzazione privata del ricorso allo smart working, il cui contenuto sia il più chiaro e completo possibile.
- IL LAVORATORE AGILE: COSA DEVE FARE E COME
Se il ricorso allo smart working ha notevolmente impattato sul datore di lavoro, altrettanto può dirsi con riguardo ai lavoratori.
Non vi sono norme specifiche da richiamare, piuttosto condotte e cautele da adottare che siano adeguate a tale modalità di lavoro e che dovrebbero essere state indicate dal datore di lavoro medesimo con apposita policy o codice disciplinare.
Condotte e cautele in linea di massima tutte orientate alla vigilanza sulla sicurezza degli end-point, sul corretto uso della e-mail aziendale, sull’utilizzo esclusivo dei devices, sulla fruizione di connessioni sicure, sulla riservatezza dell’ambiente in cui si svolgono le mansioni.
Vediamone, di seguito, alcune a mero titolo esemplificativo:
(i) predisporre all’interno della propria abitazione una postazione che consenta di lavorare in una condizione di non contiguità con i familiari e di ridurre al minimo le interferenze di altri soggetti eventualmente presenti all’interno dell’abitazione, anche in termini di rumore e/o ingerenze e distrazioni;
(ii) se la rete utilizzata è domestica, verificarne la sicurezza (no a collegamenti a reti pubbliche o in condivisione con uno o più vicini di casa)
(iii) proteggere i dati contro rischi di distruzione e/o perdita, di accesso e/o trattamento non autorizzato(non lasciando incustoditi, ad esempio, i dispositivi aperti e connessi);
(iv) utilizzare solo strumenti ICT aziendali (pc, tablet, smartphone…) concessi dal datore di lavoro in uso al di fuori dei locali aziendali solo per scopi lavorativi, e non anche personali (ad es. per consultare la propria e-mail personale o i propri profili social) o, in caso di utilizzo di pc personale, creare un account protetto da password dedicato;
(v) utilizzare antivirus e antimalware e aggiornarli costantemente;
(vi) effettuare frequentemente un back office in ambiente offline;
(vii) utilizzare password sicure (almeno 8 caratteri alfanumerici con segni di interpunzione) e differenti per ogni ambiente di login, cambiandole spesso;
(viii) effettuare sempre il logout;
(ix) fare molta attenzione ad e-mail di provenienza dubbia, contenenti link e/o allegati che non vanno mai cliccati e/o aperti ovvero con messaggi allarmistici (frequenti sono quelle di richieste di un piccolo aiuto economico a causa di una difficoltà contingente che si ricevono da un mittente presente tra i propri contatti, ma il cui è account è stato hackerato al fine di rubare la nostra identità –c.d. phishing-);
(x) contattare il datore di lavoro e/o l’amministratore di sistema per un qualsiasi dubbio, incidente o timore di incidente e/o violazione che possa compromettere la protezione dei dati personali (propri e/o di colleghi) e/o aziendali;
(xi) organizzare la giornata lavorativa con orari il più possibile precisi ed attenervisi il più possibile evitando o riducendo al massimo interruzioni per ragioni personali, e nel contempo prendersi le necessarie pause.
- CONSIDERAZIONI CONCLUSIVE E UN ACCENNO AL DIRITTO ALLA DISCONNESSIONE
Svariati, come abbiamo visto, sono i profili di difficoltà che il massiccio e necessitato ricorso al lavoro agile ha comportato, sia dalla parte dell’azienda che da quella del dipendente.
Per quanto riguarda l’azienda, in estrema sintesi, far fronte agli obblighi, di cui innanzi si è fatta menzione, costituisce certamente adempimento ad obblighi di legge, ma altresì tutela del proprio business, ivi compresa la c.d. business continuity, mediante l’incremento di impiego di risorse umane ed economiche nell’ottica di un crescente investimento in ICT (Information and Communication Technology).
Vi sono anche vantaggi sotto il profilo dell’organizzazione d’impresa in termini di riduzione delle postazioni di lavoro e minori costi generali di esercizio (energia, stampa, etc.), presenza di minor conflittualità interpersonale, etc.
Dal punto di vista del dipendente, numerosi i vantaggi, quali ad es. l’eliminazione dei tempi di spostamento e relativi costi, maggiore elasticità organizzativa, ma anche diversi gli svantaggi: considerevole riduzione della socialità, maggiore difficoltà nel reperire informazioni e quindi minore efficienza, e, ultimo, ma non per questo meno importante, il c.d. effetto “burn out”.
Il burn out, letteralmente surriscaldamento, bruciatura o esaurimento, consiste in una condizione di disagio patologico rubricata dall’OMS tra i fattori che influenzano la salute nella International Classification of Diseases e che qui rileva in termini di psicopatologia del lavoro.
Alla base v’è una condizione di stress dovuta agli strumenti utilizzati dallo smart worker (ad esempio pc portatili e smartphone) che ne determinano una reperibilità ed una connessione, non solo potenziale ma di fatto, costante e continua, con conseguente compromissione del bilanciamento tra vita professionale e vita privata, che invece è tra le finalità dell’istituto del lavoro agile.
In questo quadro si inserisce il diritto alla disconnessione, ossia il diritto per il lavoratore di non essere costantemente online e quindi reperibile, e la libertà di non leggere e non rispondere alle comunicazioni di lavoro durante il periodo di riposo senza che a ciò determini la compromissione, anche parziale, della sua situazione lavorativa.
Il riconoscimento di tale diritto, nativo dei primi anni 2000 anche grazie ad una lungimirante giurisprudenza, è volto a tutelare il lavoratore ed in particolare quello agile da patologie che vanno, in ordine crescente di gravità, dal c.d. tecno-stress al sopracitato burn out.
Ci si limita, in questa sede, ai pochi accenni sopra indicati, trattandosi di argomento complesso e delicato che merita e richiede un approfondimento a sé, sia sotto il profilo normativo che giurisprudenziale.
[1] Art. 24 Responsabilità del titolare del trattamento
- Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate ed aggiornate qualora necessario.
…..
[2] Art. 35 Valutazione d’impatto sulla protezione dei dati
- Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione d’impatto dei trattamenti previsti sulla protezione dei dati personali.
….
- La valutazione contiene almeno:
- a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- c) una valutazione dei rischi per i diritti e le libertà degli interessati …;
- d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
…..
[3] Art. 25 Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita
- Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche ed organizzative adeguate, quale la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione
…..
- Il titolare del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni singola finalità del trattamento.
…..
Con tale disposizione il Legislatore Europeo ha sancito i principi fondanti della privacy by design (ovvero garantire la protezione dei dati fin dalla progettazione, il che significa ridurre al minimo il trattamento dei dati mediante misure tecniche e organizzative con riguardo a tutti gli asset che hanno un impatto sul trattamento dei dati ) e by default (ovvero protezione dei dati per impostazione predefinita).
[4] Art. 32 Sicurezza del trattamento
- ….. il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
- a) la pseudonimizzazione e la cifratura dei dati personali;
- b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- c) la capacità di ripristinare tempestivamente la disponibilità dei dati personali in caso di incidente fisico o tecnico;
- d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche o organizzative al fine di garantire la sicurezza del trattamento.
- Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
….
[5] Art. 30 Registri delle attività di trattamento
Il titolare del trattamento … tengono un registro delle attività di trattamenti svolti sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
- a) il nome e i dati di contatto del titolare del trattamento ….e del responsabile per la protezione dei dati;
- b) le finalità di trattamento;
- c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d)le categorie di destinatari a cui i dati personali sono stati o saranno comunicati …..;
…..
[6] Art. 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
- Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’art. 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro …..
[7] Art. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
- … il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
- a) l’identità e i dati di contatto del titolare del trattamento …;
- b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- c) le finalità del trattamento … nonché la base giuridica del trattamento;
…..
- e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
…..
[8] Art. 28 Responsabile del trattamento
- Qualora il trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguati in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
…..
- I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico … che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie degli interessati, ….
A titolo esemplificativo, sono responsabili del trattamento i fornitori di clouds.
[9] Per “data breach” si intende quella violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Gli articoli 33 e 34 G.D.P.R. prevedono, rispettivamente, la notifica di una violazione dei dati personali all’autorità di controllo e la comunicazione di una violazione dei dati personali all’interessato.