Smart working & remote working: come implementarli nel rispetto del GDPR

Con il diffondersi della pandemia si è posto fin da subito un grande problema: consentire la prosecuzione dell’attività lavorativa nel settore pubblico e privato in un contesto in cui la mobilità era (ed è) fortemente ridotta – se non addirittura esclusa.

All’inizio dell’emergenza su tutti i maggiori canali di comunicazione, televisione, social network, siti internet e via discorrendo, ha iniziato a farsi prepotentemente avanti un’espressione sino a quel momento sconosciuta ai non addetti ai lavori: SMART WORKING.

Sebbene siano trascorsi molti mesi dalla dichiarazione dello stato di emergenza in Italia ed anzi si stia assistendo ad un rilancio dell’istituto a causa del rapido evolversi degli eventi (si veda da ultimo il Dpcm del 18 ottobre 2020), siamo sicuri che sia chiaro a tutti cosa sia lo smart working?

Ma, soprattutto, imprenditori, aziende e liberi professionisti sono effettivamente consapevoli delle ricadute che il lavoro svolto ad di fuori dai locali aziendali può avere su data protection e privacy, tanto lato dipendente quanto lato dati aziendali?

Partiamo da alcune definizioni fondamentali.

Cosa si intende per “smart working”?

Lo smart working (ossia il “lavoro agile”) è definito dalla legge come una “modalità di esecuzione  del rapporto di lavoro subordinato  stabilita  mediante  accordo  tra  le parti, anche con forme di organizzazione per fasi, cicli e  obiettivi e senza precisi vincoli di orario  o  di  luogo  di  lavoro,  con  il possibile  utilizzo  di  strumenti  tecnologici  per  lo  svolgimento dell’attività lavorativa. La prestazione lavorativa viene  eseguita, in parte all’interno di locali aziendali e in parte all’esterno senza una  postazione  fissa,  entro  i  soli  limiti  di  durata   massima dell’orario di lavoro  giornaliero  e  settimanale,  derivanti  dalla legge e dalla contrattazione collettiva” (così l’art. 18 della L. n. 81/2017).

Si è voluto riportare integralmente il testo normativo per far comprendere quanto spesso accada che ALTRE tipologie di lavoro siano erroneamente confuse con lo smart working.

Moltissimi imprenditori, aziende e liberi professionisti, infatti, pur credendo (e rivendicando) di star “mettendo in smart working” i propri dipendenti, sono in realtà ricorsi al “telelavoro” (per fare un parallelismo inglese, al “remote working”).

E dunque ad un istituto completamente diverso.

I tuoi dipendenti lavorano da casa utilizzando strumenti informatici per collegarsi al server aziendale, nella classica fascia oraria 9/18?

NON fanno smart working, ma remote working.

Non si tratta di voler essere pignoli e farne una questione terminologica, ma di distinguere istituti completamente diversi da loro.

Anzitutto sotto il profilo della contrattazione (il telelavoro è oggetto di contrattazione collettiva, mentre il lavoro agile si fonda su una contrattazione individuale), oltre che quello degli strumenti utilizzati (solitamente nel telelavoro è il datore di lavoro a fornire computer, ecc., mentre nel lavoro agile il lavoratore utilizza strumenti di sua proprietà).

Oltre a tali differenze fondamentali, c’è n’è una che assume valore dirimente: per aversi lavoro agile è necessaria (ed anzi è qualificante) l’assenza di vincoli orari o spaziali e un’organizzazione per fasi, cicli e obiettivi.

Insomma, se nel telelavoro è l’aspetto logistico a fare la differenza (la postazione è in un luogo diverso dai locali aziendali) nello smart working è la flessibilità la chiave di volta del sistema.

Assegni ai tuoi dipendenti progetti ed obiettivi da raggiungere entro una certa data?

Si, fanno smart working.

Piuttosto lineare, verrebbe da dire.

E allora, come mai si è creata tutta questa confusione?

Il problema di fondo è riconducibile essenzialmente a due fattori.

Da un lato l’improvvisa chiusura dei luoghi di lavoro ha costretto molti datori di lavoro a ricorrere a soluzioni un pò “arrabbattate”, utilizzando tipologie contrattuali non riconducibili a quelle normativamente previste.

Dall’altro lato la decretazione d’urgenza (v. anche il Protocollo del 24 aprile 2020) ha raccomandato il massimo utilizzo della modalità di lavoro agile per le attività che possono essere svolte al proprio domicilio o in modalità a distanza, introducendo la possibilità di ricorrere allo smart working (a.k.a. lavoro agile) “semplificato”.

E che cos’è adesso lo smart working semplificato?

Si tratta di una tipologia “speciale” di smart working, che si caratterizza per una semplificazione dal punto di vista della sua attivazione: i datori di lavoro possono infatti ricorrere allo smart working anche in assenza di un accordo individuale scritto, in deroga a quanto previsto dalla L. n. 81/2017.

E qual è dunque il quadro normativo attuale?

Dall’analisi incrociata del Decreto Cura Italia (convertito ad aprile), del Decreto Rilancio (convertito a luglio), del Decreto Agosto (convertito e pubblicato in Gazzetta Ufficiale pochi giorni fa, il 13 ottobre 2020) e di alcuni Dpcm, emerge quanto di seguito.

Il lavoro agile costituisce un vero e proprio diritto – ove compatibile con le caratteristiche della prestazione lavorativa – per due categorie di lavoratori: i lavoratori fragili, ossia quelli maggiormente esposti al rischio da contagio sulla base della valutazione del medico competente (es. immuno-depressi, malati oncologici, ecc.); ed i genitori lavoratori del settore privato con figli di età inferiore a 14 anni (seppure a talune condizioni).

Per quanto riguarda il comparto pubblico, già il Decreto Cura Italia aveva individuato nel lavoro agile la “modalità  ordinaria  di  svolgimento  della  prestazione lavorativa nelle pubbliche amministrazioni”, per poi arrivare, ad oggi, alla previsione di simile modalità lavorativa per il 50% delle PA.

Al di là di quanto normativamente previsto e delle probabili ulteriori evoluzioni, una cosa è chiara a tutti: sia i manager che i dipendenti stanno apprezzando enormemente i vantaggi del lavoro da remoto, e parrebbe che nessuno voglia tornare alle vecchie abitudini.

E allora, a prescindere dalle forme contrattuali, sorge spontanea la domanda: imprenditori, aziende e professionisti sono davvero pronti a gestire le sfide connesse al ricorso al lavoro da remoto?

Vediamo insieme quali sono le principali problematiche dal punto di vista del GDPR.

A) Le criticità relative alla tutela della privacy del lavoratore.

Lo svolgimento della prestazione al di fuori dei locali aziendali si lega principalmente al tema del controllo a distanza dell’attività dei lavoratori.

Infatti il datore di lavoro (soprattutto privato) già normalmente solerte nel verificare che i propri dipendenti prestino la propria attività lavorativa, lo sarà ancor di più nel caso di una loro assenza fisica.

Sia chiaro un punto: in linea generale il consenso del lavoratore al trattamento dei propri dati personali non può mai essere considerato espressione di una volontà libera, poiché il diniego del lavoratore “potrebbe causare allo stesso un pregiudizio reale o potenziale” (come precisato dal WP29, ora EDPB, con l’Opinion 8/2001, integrata con l’Opinion 2/2017).

E, quindi, NON può costituire una valida base giuridica del trattamento.

Occorre quindi ricorrere ad altre basi giuridiche, quali (tipicamente) l’esecuzione di obblighi derivanti da un contratto di lavoro, l’adempimento di obbligazioni previste dalla legge ovvero l’interesse legittimo del datore di lavoro.

Ma da un punto di vista pratico come è opportuno muoversi per essere conformi alle norme di legge?

  • Verificare la necessità del trattamento, oltre alla correttezza e alla proporzionalità dello stesso rispetto alle finalità perseguite, partendo dall’accountability.

Come sempre, anziché procedere ad un trattamento indiscriminato dei dati dei lavoratori bisogna valutare attentamente la situazione, ponendosi alcuni interrogativi.

Il trattamento che si vuole effettuare è necessario? Quali sono le finalità?

Che pregiudizio subirebbe l’azienda se non si effettuasse quel trattamento?

E quale invece il lavoratore, se al contrario il trattamento fosse posto in essere?

Non lo si ripeterà mai abbastanza: sul datore di lavoro/titolare “pende” sempre il principio di accountability, che impone l’adozione di comportamenti proattivi al fine di dimostrare la compliance al GDPR.

Spetta quindi a lui decidere le modalità e i limiti del trattamento, oltre ad eventuali rischi.

E da qui il prossimo punto:

  • Valutare l’opportunità di disporre una Data Protection Impact Assessment (DPIA) ex art. 35 GDPR.

Tenuto conto delle caratteristiche del lavoro da remoto difficilmente potrà prescindersi da una DPIA. Aumenta infatti la probabilità di trattamento di dati sensibili, su larga scala e mediante l’utilizzo di nuove soluzioni tecnologiche, talvolta particolarmente invasive.

Verranno usati sistemi di log in grado di tracciare l’operato del lavoratore?

Occorre la DPIA.

Grazie ad essa sarà possibile verificare i rischi connessi al trattamento e adottare, nel rispetto dei principi di necessità e proporzionalità, le misure di sicurezza idonee a ridurli o eliminarli.

ATTENZIONE: Nel caso in cui la DPIA dovesse indicare un rischio elevato e l’assenza di misure per attenuarlo, il datore di lavoro/titolare del trattamento è tenuto altresì ad effettuare una consultazione preventiva del Garante, ex art. 36 GDPR.

  • Adottare le dovute misure di sicurezza volte a bilanciare la finalità del trattamento con i diritti e le libertà fondamentali dei lavoratori.

Data la delicatezza dei trattamenti di cui ci stiamo occupando, occorre scegliere oculatamente le misure di sicurezza da utilizzare.

L’EDPB, insistendo moltissimo sull’approccio “privacy by design/by default”, suggerisce alcune misure di sicurezza idonee a prevenire eventuali violazioni della riservatezza dell’interessato, come ad esempio il divieto di monitoraggio delle cartelle/dei file e/o delle comunicazioni personali dei dipendenti.

Altri esempi? Quando un datore di lavoro fornisce dispositivi ai dipendenti, nel caso in cui fossero coinvolte tecnologie di tracciamento bisognerà selezionare le soluzioni più rispettose della privacy.

A tal proposito si suggerisce inoltre la lettura (e rilettura) del Provvedimento del garante sugli Amministratori di Sistema, nella versione definitiva del 2009.

  • Effettuare le necessarie modifiche che potrebbero essere richieste in altri documenti di conformità relativi alla protezione dei dati.

É opportuno avere sempre a mente che la documentazione privacy costituisce un sistema composito e “connesso”. Di conseguenza ogni volta che si introducano nuovi trattamenti, oppure si modifichino quelli già in essere, bisogna intervenire su tutti i documenti preesistenti (informative, registro dei trattamenti, ecc.).

  • Agire nel rispetto dei principi imposti dalla normativa giuslavoristica.

Il GDPR non contiene norme puntuali in materia di trattamento dei dati dei lavoratori, salvo quanto stabilito nell’art. 88 del GDPR, che rinvia agli Stati membri la previsione di norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti.

Rispetto al panorama italiano la disposizione centrale è certamente quella contenuta nell’art. 4 dello Statuto dei lavoratori, in base alla quale gli strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati:

  • esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale;
  • previo accordo collettivo stipulato dalle rappresentanze sindacali (unitaria, aziendale, nazionale), ovvero, in mancanza di accordo, previa autorizzazione dell’Ispettorato del lavoro (territoriale o nazionale).

È inoltre previsto che le informazioni raccolte siano utilizzabili a tutti i fini connessi al rapporto di lavoro (come ad esempio quelli disciplinari), ma solo a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nel rispetto della normativa privacy.

Cosa si declina tutto questo rispetto al lavoro da remoto?

Come e quando è possibile monitorare l’attività dei propri dipendenti?

Ogni situazione merita un’analisi puntuale, non esiste una soluzione preconfezionata.

Da un punto di vista generale, ma occorre sempre valutare caso per caso, è possibile utilizzare tools di Data Loss Prevention e più in generale software di protezione da attacchi esterni, i quali pur monitorando l’attività del lavoratore, lo fanno al solo fine di tutelare il patrimonio aziendale e assicurare la sicurezza informatica.

AD UNA CONDIZIONE: dev’esserci l’assoluta trasparenza.

È quindi necessario predisporre una policy aziendale chiara, comprensibile e lineare rispetto a ciascun trattamento effettuato e fornire un’informativa concisa, trasparente e intellegibile indicante le finalità, i tempi di conservazione dei dati e le misure di sicurezza adottate per garantire che la vita privata dei dipendenti non sia violata.

Certo è che i “margini” del controllo dipendono molto anche dalla tipologia contrattuale con la quale si estrinseca la prestazione lavorativa.

Per esempio lo smart working non è legato all’orario di lavoro, ma si fonda sul raggiungimento di precisi obiettivi; NON È pertanto lecito registrare accessi e presenze, potendosi al più ricorrere a tools per la rilevazione della produttività.

Si capisce quindi perché la distinzione tra smart working e remote working non sia squisitamente terminologica, ma vada ad impattare notevolmente su cosa si possa o non possa fare per essere conformi alla legge.

  • Implementare una specifica procedura in caso di data breach (ex artt. 33, 34 GDPR).

Last but not least, sperando non accada mai, occorre essere preparati nel caso in cui si verifichi un data breach, implementando una procedura efficiente ed efficace, e prodigarsi affinché sia nota a tutti i dipendenti.

La rapidità e precisione nell’intervento può infatti fare tutta la differenza del mondo.

Tutti gli aspetti sin’ora evidenziati hanno assunto quale punto di vista quello del lavoratore e della protezione della sua riservatezza.

Vediamo adesso invece cosa è opportuno valorizzare da un’altra prospettiva.

B) Le criticità inerenti la tutela dei dati aziendali.

Partiamo da una considerazione fondamentale: sia per il settore privato che per quello pubblico è stata prevista la possibilità di svolgere la prestazione lavorativa in lavoro agile anche attraverso strumenti informatici nella disponibilità del dipendente qualora non siano forniti dal datore di lavoro”.

Se però il problema risulta “mitigato” nel caso del telelavoro (in quanto solitamente la strumentazione è fornita dal datore di lavoro e la dislocazione è fissa, seppur in un luogo diverso dai locali aziendali), così non è per lo smart working.

La flessibilità tipica dello smart working comporta infatti (di regola) l’utilizzo del laptop personale e lo spostamento in luoghi diversi (l’azienda, un co-working space, un bar).

Con tutti i pericoli conseguenti, vuoi perché l’antivirus non è aggiornato, vuoi perché la prima cosa che si fa quando si va in un posto è chiedere la password del wi-fi, cui ci si collega senza pensare troppo.

Ed è lì che subentrano i cyber attacchi, i data breach e più in generale la messa in pericolo dei dati personali, bene primario (se non essenziale) di qualsiasi azienda.

E di chi è la responsabilità?

Del datore di lavoro/titolare del trattamento, in virtù del principio di accountability.

Ma ci sono alcune attività che possono ridurre di molto i rischi.

Vediamole.

  1. Implementare adeguate misure di sicurezza tecniche e organizzative, adottando un approccio basato sulla valutazione del rischio.

AI sensi dell’art. 5, par. 1, lett. f) del GDPR  i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)“.

Ciò significa, pertanto, strutturare una solida e rigorosa policy aziendale, in grado di garantire elevati standard di sicurezza.

Nello svolgimento di simile operazione è essenziale tenere conto dello stato dell’arte e dei costi di attuazione delle misure di sicurezza, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento (cfr. l’art. 32 del GDPR).

  • Fornire istruzioni operative al lavoratore sulle corrette modalità di utilizzo degli strumenti di lavoro, eventualmente revisionando le istruzioni somministrate in precedenza.

Risulta assolutamente CRUCIALE sollecitare la consapevolezza del lavoratore, sia da un punto di vista generale – circa il doveroso rispetto della riservatezza delle informazioni trattate – sia da un punto di vista più squisitamente tecnico.

A costo di risultare pedanti, è bene ribadire quelle che sono le fondamentali regole di sicurezza nell’utilizzo di strumenti elettronici.

Utilissime in tal senso, ad esempio, le 11 raccomandazioni fornite dall’AgID ai dipendenti pubblici, che valgono per qualsiasi lavoratore da remoto, quali:

  • seguire prioritariamente le policy e le raccomandazioni dettate dal datore di lavoro;
  • utilizzare i sistemi operativi per i quali attualmente è garantito il supporto;
  • effettuare costantemente gli aggiornamenti di sicurezza del sistema operativo;
  • assicurarsi che i software di protezione del sistema operativo (Firewall, Antivirus, ecc.) siano abilitati e costantemente aggiornati;
  • assicurarsi che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate;
  • non installare software proveniente da fonti/repository non ufficiali;
  • bloccare l’accesso al sistema e/o configurare la modalità di blocco automatico quando ci si allontani dalla postazione di lavoro;
  • non cliccare su link o allegati contenuti in email sospette;
  • utilizzare l’accesso a connessioni Wi-Fi adeguatamente protette;
  • collegarsi a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui si conosca la provenienza (nuovi, già utilizzati, forniti dal datore di lavoro)
  • effettuare sempre il log-out dai servizi/portali utilizzati dopo aver concluso la sessione lavorativa.

E con i documenti cartacei come è bene procedere?

È importante ricordare che la protezione dei dati non si applica solamente ai dati archiviati o elaborati elettronicamente, ma anche ai documenti cartacei, soprattutto con riferimento alla loro custodia e distruzione.

Quando si lavora da remoto con documenti cartacei occorre infatti adottare misure appropriate per garantire la loro sicurezza riservatezza, ad esempio conservandoli chiusi in uno schedario od un cassetto quando non sono utilizzati, smaltendoli in modo sicuro (ad esempio triturandoli) quando non sono più necessari e assicurandosi che non vengano lasciati da qualche parte dove potrebbero essere smarriti o rubati.

Ove possibile, inoltre, è opportuno conservare una registrazione scritta di quali documenti e file sono stati portati a casa, al fine di mantenere buone pratiche di governance e accesso ai dati.

ATTENZIONE: le cautele indicate sono maggiormente necessarie nel caso in cui si abbia a che fare con record che contengano categorie particolari di dati personali (ad esempio dati sanitari).

Chiedersi sempre: ma è davvero necessario spostare questi documenti dai locali aziendali per prestare l’attività lavorativa?

  • Sottoporre regolarmente a verifica le soluzioni informatiche sviluppate e/o utilizzate per consentire lo svolgimento del lavoro a distanza, in modo da assicurarne la conformità ai principi di privacy by design/by default e alle misure di sicurezza ex art. 32 GPDR.

Una simile “buona prassi” diventa ancor più essenziale laddove si debbano coordinare lavoratori da remoto.

  • Verificare rigorosamente il ricorso a soluzioni di terza parte.

A causa dell’inadeguatezza dei sistemi aziendali, si potrebbe essere costretti ad affidare taluni servizi a fornitori esterni, con tutti i rischi connessi all’affidabilità e sicurezza degli strumenti utilizzati. Si comprende pertanto l’importanza di selezionare oculatamente i fornitori dell’azienda.

Inoltre, è bene valutare l’opportunità di redigere un DPA (Data Processing Agreement) ex art. 28 GDPR, con relativa nomina a responsabili del trattamento, laddove ne ricorrano i requisiti.

Conclusioni

Lo smart working e il remote working stanno progressivamente dismettendo le vesti di misure emergenziali per assumere sempre di più il ruolo di protagonisti del lavoro del futuro.

E una conferma in tal senso proviene da sempre più aziende, che “promulgano dispacci” con i quali dichiarano l’intento di non tornare più agli schemi lavorativi classici ante Covid-19.

Ma siamo sicuri che tutti gli imprenditori, le aziende e i professionisti sono pronti alle sfide che il lavoro da remoto pone?

Ciascun datore di lavoro dovrebbe infatti chiedersi: la policy aziendale è a prova di GDPR?

Le misure di sicurezza implementate sono sufficienti per arginare i rischi di un data breach o di un cyber attacco?

I dipendenti hanno un’adeguata cultura digitale ed una solida formazione GDPR?

Data la posta in gioco, occorre prestare la massima attenzione.

Per maggiori informazioni sul sistema DATI360 Legal Suite, oppure per ricevere una consulenza dal nostro team di legali, contattaci qui: www.dati360.it/contatti/

Condividi

Facebook
LinkedIn