Lo smart working (o lavoro agile), disciplinato dalla Legge 81/2017, è una modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti – datore di lavoro e lavoratore – e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti elettronici per lo svolgimento dell’attività lavorativa da remoto (come ad esempio: pc portatili, tablet e smartphone del cui funzionamento è responsabile il datore di lavoro).
Lo smart working ha visto svanire spazi e tempi propri del lavoro subordinato “classico”. Il lavoratore e la lavoratrice possono svolgere la propria attività da remoto.
Ai lavoratori deve essere comunque garantita la parità di trattamento, economico e normativo, rispetto ai loro colleghi che eseguono la prestazione con modalità ordinarie.
Nel linguaggio comune smart working e telelavoro sono spesso utilizzati come sinonimi, in realtà, seppur simili dal punto di vista dell’esecuzione, costituiscono due fattispecie diverse di lavoro subordinato.
Il telelavoro può essere inteso come una delocalizzazione della sede aziendale centrale, il lavoro si svolge a distanza ma si basa sul fatto che il dipendente abbia una postazione fissa anche se dislocata.
La diffusione di queste tipologie contrattuali presenta notevoli vantaggi, ma ha un impatto diretto sulla sicurezza dei dati personali gestiti dall’azienda.
L’utilizzo di nuove tecnologie può mettere in serio pericolo il patrimonio informativo aziendale: è necessario valutare i rischi che ogni innovazione tecnologica porta, mettendo in atto ogni misura tecnica e organizzativa possibile, per prevenire una violazione di dati personali.
La protezione dei dati e la gestione della privacy non possono essere escluse durante la predisposizione e l’organizzazione delle attività.
Tra i punti critici da analizzare, è indispensabile evidenziare due aspetti fondamentali:
- la sicurezza dei dati, delle reti aziendali e degli strumenti elettronici utilizzati dal lavoratore;
- la privacy dei lavoratori.
I rischi per le risorse aziendali – sicurezza dei dati
Lo smart working mette a dura prova la protezione dei dati personali, il patrimonio informativo aziendale è infatti esposto a molteplici rischi:
- i collegamenti da remoto, più o meno improvvisati, verso i server aziendali sono più vulnerabili agli attacchi informatici;
- i dispositivi elettronici personali e la rete domestica utilizzati dai lavoratori per svolgere le proprie mansioni sono privi di misure tecniche di sicurezza;
- la mancanza di procedure per gestire la sicurezza dei dati in regime di smart working;
- la disponibilità della quasi totalità di dati trasferiti all’esterno dell’azienda;
- la mancata formazione dei soggetti autorizzati al trattamento dei dati personali (lavoratori).
I rischi per la privacy dei lavoratori
Il datore di lavoro è tenuto a garantire ai smart worker il rispetto delle norme sulla privacy e l’applicazione del Regolamento UE 2016/679 – GDPR, tenendo conto delle tecnologie utilizzate nello svolgimento dell’attività lavorativa.
L’utilizzo di nuove tecnologie e il diffondersi dello smart working rischiano di ridurre le tutele previste dallo Statuto dei lavoratori (Legge 300/1970).
L’articolo 4 dello Statuto limita la possibilità del datore di lavoro di effettuare il controllo a distanza delle attività dei lavoratori.
Ad esempio, è vietata l’installazione di un sistema di controllo a distanza in assenza di determinati motivi previsti dalla legge (esigenze organizzative e produttive, sicurezza del lavoro tutela del patrimonio aziendale) e in assenza della prevista procedura autorizzativa per la videosorveglianza: tale procedura prevede il parere favorevole delle rappresentanze sindacali aziendali o rilascio di autorizzazione da parte dell’ispettorato del lavoro.
I lavoratori e le lavoratrici devono essere adeguatamente informati sulle modalità di controllo.
La procedura è obbligatoria con esclusivo riferimento agli strumenti diretti al controllo del personale (ad esempio l’installazione di impianto di videosorveglianza, geolocalizzazione), e non agli strumenti aziendali di lavoro (ad esempio l’utilizzo di strumenti elettronici aziendali, come il personal computer, per lo svolgimento della mansione assegnata).
I dispositivi elettronici aziendali affidati al personale per svolgere la propria prestazione lavorativa, appaiono strumenti necessari senza i quali risulterebbe impossibile svolgere la prestazione lavorativa; pertanto non sembrano rientrare fra quelli soggetti al parere delle rappresentanze sindacali aziendali o al rilascio di autorizzazione da parte dell’ispettorato del lavoro.
La Legge 81/2017 prevede che, nell’accordo tra datore di lavoro e lavoratore, siano indicate le modalità per l’esercizio del potere di controllo datoriale sulla prestazione resa dallo smart worker.
È bene sottolineare che, in ogni caso, il trattamento dei dati personali dei lavoratori, dovrà sempre ispirarsi ai principi di correttezza, pertinenza e non eccedenza dettati dalla normativa vigente in materia di protezione dei dati personali e di diritto del lavoro.
Le informazioni raccolte tramite gli strumenti di lavoro possono esser utilizzate, per le finalità connesse al rapporto di lavoro (fra cui sanzioni disciplinari) soltanto previa informazione del lavoratore sulle modalità di controllo dei dispositivi elettronici aziendali, e nel rispetto della normativa in materia di privacy, quindi previa consegna di specifica informativa.
Diversamente, l’utilizzo di software di controllo, installati sul dispositivo elettronico in uso al lavoratore, deve essere analizzato e valutato molto attentamente: l’installazione di software con funzionalità impiegate per il tracciamento sistematico e continuativo degli accessi da parte del lavoratore o di altre attività, è da ritenersi un’attività di controllo vietata secondo quanto prescritto dallo Statuto dei lavoratori.
I software di monitoraggio, anche se installati su uno strumento di lavoro indispensabile per rendere la prestazione lavorativa, permettono il controllo a distanza del personale e richiedono l’informazione del lavoratore e la preventiva procedura di autorizzazione prevista.
Ad ogni modo, l’utilizzo di tali software di monitoraggio presenta un grado di invasività estremamente elevato per la privacy dei lavoratori, e può esser utilizzato per le sole finalità indicate dalla norma (produttive, organizzative, di tutela del patrimonio o di sicurezza).
Questi applicativi non possono essere in nessun modo utilizzati per l’esclusivo monitoraggio del lavoratore.
Cerchi un Partner affidabile per la Privacy e la Protezione Dati della tua Azienda?
Cosa può fare il Titolare del Trattamento per proteggere i dati dei lavoratori e dell’azienda?
- Limitare la disponibilità dei dati: fornire ai soggetti autorizzati esclusivamente i dati strettamente necessari allo svolgimento dell’attività lavorativa.
- Nominare un Data Protection Officer (DPO) quale figura di garanzia designata per garantire la piena conformità al Regolamento UE 679/2016 (GDPR).
- Nominare i soggetti autorizzati al trattamento (lavoratori).
- Fornire al lavoratore un’idonea informativa relativa al trattamento dei suoi dati personali.
- Fornire al lavoratore idonee istruzioni operative per trattare i dati personali in regime di smart working, anche implementando le procedure esistenti.
- Redigere regolamenti aziendali per il corretto utilizzo dei dispositivi elettronici.
- Provvedere alla formazione dei soggetti autorizzati al trattamento (lavoratori dipendenti), evidenziando i rischi e le misure da adottare durante lo smart working.
- Elaborare o aggiornare la Valutazione di impatto (DPIA): effettuare la valutazione, anche nei casi in cui non è prevista dal Regolamento UE 2016/679 – GDPR, può rappresentare un’analisi concreta della gestione del rischio collegato all’utilizzo di nuove tecnologie nell’ambito dello smart working.
- Predisporre idonee misure di sicurezza tecniche, affidando l’incarico a soggetti qualificati ed evitando soluzioni improvvisate.
Responsabilizzazione dei lavoratori – Cyber Security
Ricordiamoci che il fattore umano è l’anello più debole della sicurezza. I lavoratori hanno accesso e trattano una mole non indifferente di dati aziendali.
Durante lo smart working l’accesso ai database aziendali avviene da luoghi esterni all’azienda, aumentando le possibilità che i dati possano essere utilizzati, anche in modo fraudolento, da soggetti non autorizzati.
Il Titolare del trattamento può controllare gli aspetti di sicurezza tecnici necessari per lo svolgimento dell’attività lavorativa da remoto, ma non può controllare il fattore umano: lo smart working rende i lavoratori una parte attiva nel processo di gestione della protezione dei dati aziendali.
Cosa possono fare i lavoratori per proteggere i dati personali?
- Attenersi alle istruzioni e alle procedure fornite dal datore di lavoro.
- Verificare l’attivazione e il corretto funzionamento dei software di protezione.
- Effettuare costantemente gli aggiornamenti dei software di protezione.
- Effettuare costantemente gli aggiornamenti di sicurezza del sistema operativo utilizzato.
- Utilizzare password sicure per accedere ai dispositivi e ai software, non diffondere le proprie password. Non memorizzare le password sui dispositivi in uso.
- Non installare nuovi software senza l’autorizzazione del datore di lavoro.
- Verificare l’attendibilità delle mail ricevute, non aprire gli allegati o connettersi a link allegati a mail sospette.
- Bloccare l’accesso al dispositivo in caso di momentanea interruzione dell’attività lavorativa.
- Effettuare la disconnessione (log-out) al temine della sessione lavorativa.
- Utilizzare reti sicure, evitando reti pubbliche o non protette.