La privacy nello smart working
I recenti decreti emanati in conseguenza dell’emergenza sanitaria causata dal covid-19, stanno obbligando molte aziende ad utilizzare lo smart working o lavoro agile, al fine di evitare al massimo gli spostamenti dei lavoratori e ridurre i contatti fisici fra le persone. Di più, nella maggior parte dei casi il lavoro agile è l’unica modalità di lavoro consentita. È di fondamentale importanza sapere come coniugare privacy e smart working.
Cos’è lo smart working?
La Legge 22 maggio 2017 n. 81, che regolamenta lo smart working nel suo Capo II, prevede all’art. 18: “…il lavoro agile quale modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa. La prestazione lavorativa viene eseguita, in parte all’interno di locali aziendali e in parte all’esterno senza una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva”.
Si tratta, pertanto, di una forma di lavoro flessibile che consente al lavoratore, tra le altre cose, di esercitare la propria attività lavorativa anche al di fuori dei locali aziendali e, quindi, per quanto più ci interessa in relazione all’attuale situazione emergenziale, anche presso la propria abitazione.
Le novità introdotte
Quali sono quindi le novità introdotte con l’emanazione dei decreti susseguitisi nelle ultime settimane in relazione al lavoro agile?
A parte il continuo e frequente richiamo alla promozione delle modalità di lavoro agile sia in ambito privato che pubblico, sono due le modifiche alla legge summenzionata che sono state introdotte per tutta la durata dello stato di emergenza e per ogni rapporto di lavoro subordinato.
La prima, è l’eliminazione del requisito del previo accordo individuale, previsto dagli artt. 18 e 19 della Legge 22 maggio 2017 n. 81. La seconda, l’assolvimento in via telematica degli obblighi informativi previsti dall’art. 22 della medesima legge.
Per il resto, la normativa resta invariata anche per quanto attiene al trattamento dei dati dati personali. Ciò, è necessario sottolinearlo, in quanto da più parti si discute in questa fase circa l’opportunità o meno di comprimere i diritti in materia di privacy nello smart working, per meglio fronteggiare la grave situazione emergenziale che il nostro paese sta attraversando, non solo per la tutela della salute, ma anche per agevolare le imprese ai fini della tutela della nostra economia.
Ebbene, ad avviso di chi scrive, occorre mettere in chiaro che in tema di smart working (e non solo) nessuna compressione dei diritti in ambito privacy – quindi, nessuna riduzione dei diritti relativi alla tutela dei dati personali – può essere legittimamente operata. Resta pertanto ferma l’applicazione della normativa europea sul trattamento dei dati personali, Regolamento n. 679/2016 (GDPR). (Leggi anche l’articolo GDPR – Cosa devono fare le aziende?)
I rischi per la sicurezza dei dati
È indubbio che le modalità di lavoro agile comportino maggiori pericoli per la sicurezza dei dati. Ciò, per un verso, a causa delle scarse difese che spesso sono adottate nelle location esterne all’azienda, come ad esempio in ambito domestico, dove più spesso si esplica. In particolare, quando il lavoro agile è adottato in modo frettoloso a seguito dell’emergenza, senza le opportune e adeguate privacy by design e privacy by default.
Per altro verso, i maggiori rischi sono causati dell’aumento delle minacce hacker, che – approfittando della pandemia da covid-19 – sono in esponenziale crescita, sopratutto al fine di carpire credenziali di accesso.
Scrive Pierguido Iezzi, Cyber Security Director, Digital Innovation Manager, co-fondatore di SwascanIl, su Federprivacy: “il volume totale di email di phishing – così come altre minacce di Cyber Security – relative al Covid-19 rappresenta oggi la più grande coalescenza di attacchi informatici attorno a un unico tema mai osservata. Ad oggi sono stati osservati attacchi che vanno dal phishing delle credenziali, allegati e link dannosi, compromissione delle email aziendali (Business Email Compromise o BEC), false landing page, downloader, spam e ceppi di malware e ransomware; tutti legati al coronavirus e in rapida diffusione”. (articolo completo qui)
I rischi più evidenti per il datore di lavoro, in caso di adozione di modalità di lavoro agile, sono da individuarsi nelle possibili intrusioni esterne ai sistemi aziendali proprio attraverso i device dei lavoratori.
Regole base sulle misure da adottare in smart working
Ecco perché, in questa fase, occorre che i datori di lavoro e gli stessi lavoratori prestino particolare attenzione al tema della sicurezza dei dati, ancor di più nel caso di lavoro agile, con la scelta delle misure di sicurezza da adottare (da parte dei datori di lavoro) e con la loro attenta applicazione (anche da parte dei lavoratori).
In tal senso, alcune semplici misure consigliabili riguardano le regole sul collegamento ai sistemi aziendali, sul comportamento nell’utilizzo degli strumenti informatici e sulla navigazione internet.
Occorre, innanzitutto, che l’azienda adotti modalità sicure per il collegamento ai sistemi aziendali da parte degli smart worker, siano esse da remoto o via web, meglio se con reti VPN. Ancora, sarebbe utile che il datore di lavoro prevedesse l’accesso da remoto da parte dei tecnici aziendali per gli opportuni controlli e per l’assistenza al lavoratore. Non meno importante, poi, è la formazione e l’aggiornamento del personale sul tema della sicurezza dei dati e sulla normativa privacy.
Quanto agli strumenti del lavoratore, sarebbe da evitare l’utilizzo di device personali, che invece dovrebbero essere forniti dall’azienda. Allo stesso modo si dovrebbe evitare che, sugli strumenti di lavoro, vengano scaricati e/o utilizzati software non necessari alla attività da svolgere, quali ad esempio i social network. Anche in questo caso, deve comunque essere il datore di lavoro ad individuare i software utilizzabili. In ogni caso, si dovrebbe evitare che il lavoratore possa scaricare i dati aziendali sui propri device personali.
Infine, sono sempre valide le regole di base da adottare per avere modalità sicure di accesso (login), come la scelta di password non troppo semplici, che comunque debbono essere cambiate frequentemente. Meglio ancora se si adottano sistemi di autenticazione a due fattori. In ogni caso, devono essere sempre utilizzate reti wifi protette e adeguati sistemi antivirus, da tenere sempre aggiornati (tutte condizioni necessarie anche per adeguarsi al gdpr).
Privacy dei lavoratori nello smart working
Su altro versante, c’è anche la tematica della tutela della privacy degli stessi lavoratori da parte del datore di lavoro. In proposito, è utile sottolineare che l’azienda può verificare i dati sull’utilizzo degli strumenti di lavoro da parte del dipendente per molteplici finalità connesse al rapporto di lavoro, come il controllo del corretto adempimento della prestazione del dipendente o per ragioni disciplinari.
Ciò, tuttavia, è possibile solo ove gli stessi lavoratori siano stati preventivamente informati sulle modalità e sulle forme di controllo applicate e ove, comunque, l’attività di controllo del datore di lavoro sia rispettosa dell’accordo individuale redatto a norma degli artt. 18-24 della Legge 22 maggio 2017 n. 81, che prevede fra l’altro il rispetto degli artt. 2, 3 e 4 della Legge 20 maggio 1970 n. 300 (Statuto dei Lavoratori).
Ora, seppure come riferito all’inizio di questo articolo, la produzione normativa sullo stato emergenziale del nostro paese ha temporaneamente escluso la necessità degli accordi suddetti, è, a mio avviso, necessario che il datore di lavoro continui a fornire al dipendente in smart working l’informativa sulle modalità e sulle forme di controllo applicate.
Quali controlli può eseguire il datore di lavoro in smart working?
Quali sono dunque i controlli che il datore di lavoro può eseguire in assenza degli accordi di cui agli artt. 18-24 della Legge 22 maggio 2017 n. 81?
Con la riforma del Jobs Act, viene stabilito che le limitazioni di cui allo Statuto dei Lavoratori non sono applicabili ai dispositivi aziendali con cui è svolta la prestazione lavorativa (art. 23 D.Lgs. 151 del 2015), ma è previsto, tuttavia, l’obbligo di previa informativa al lavoratore sulle modalità d’uso degli strumenti e sulla effettuazione dei controlli.
In ogni caso, è consentita al datore di lavoro l’effettuazione dei controlli nei confronti del dipendente quando c’è il fondato sospetto che il lavoratore svolga attività illecite, purché il controllo sia limitato agli strumenti aziendali.
Avv. William Dispoto