- Premessa
La regolamentazione dello smart working comporta la necessità di affrontare diversi temi tra loro strettamente connessi e, in particolare:
- Adempimenti giuslavoristici previsti dalla legge 81/2017, dall’art. 4 della legge 300/1970 (Statuto dei Lavoratori) [1] e dal Protocollo Nazionale sul lavoro in modalità agile sottoscritto dal Governo e dalle Parti Sociali il 07 dicembre 2021 e, da ultimo, il DM 149/2022.
- Aspetti di safety legati, oltre al diritto alla disconnessione, alla idoneità dei luoghi in cui la prestazione viene resa. In particolare, grava sul Datore di Lavoro l’obbligo di garantire la salute e la sicurezza dello smart worker aggiornando il DUVRI e informandolo sui rischi generali e speciali correlati all’esecuzione della prestazione all’esterno dei locali aziendali.
- Aspetti di security legati all’accesso da remoto alle reti aziendali, all’eventuale impiego di device personali (bring your own device) e di reti non protette, all’aggiornamento dei firewall, alla gestione degli eventuali documenti cartacei… Si tratta di aspetti che hanno una strettissima rilevanza anche per gli aspetti di privacy.
- Aspetti di privacy dei quali si dirà più diffusamente nel paragrafo successivo.
- Gli aspetti di privacy
Gli aspetti di privacy da considerare riguardano le misure di protezione che il Datore di Lavoro deve adottare ai sensi dell’articolo 32 del GDPR a tutela dei dati personali del Lavoratore e degli Interessati eventualmente coinvolti nell’attività svolta a distanza nonché i limiti del potere di controllo che egli può esercitare nella considerazione che, le attuali tecnologie, consentono di monitorare ogni aspetto della prestazione resa (tempi di connessione, orari, tipologia del lavoro svolto, pagine internet visitate…). Qui di seguito gli adempimenti necessari.
2.1 Assessment preliminare in materia di sicurezza informatica.
In primo luogo, il Datore di Lavoro deve svolgere un assessment in materia di sicurezza informatica per comprendere quali siano i rischi operativi sottesi a tale modalità di svolgimento della prestazione. In assenza di tale assessment preliminare, il Datore di Lavoro si assumerebbe il rischio di esporre i dati personali (e i dati aziendali) ad un possibile Data Breach.
Infatti, in base al principio di privacy by design stabilito dall’art. 25 GDPR, ancora prima di poter gestire il dato, la nuova modalità di trattamento (accesso da casa del lavoratore) dovrebbe essere stata progettata, ab initio, per far sì che il rischio potenziale sia limitato al minimo.
Entrando più nel dettaglio, molti rischi operativi dipendono dal fatto che il Datore di Lavoro abbia dotato o meno il Lavoratore di dispositivi di proprietà dell’azienda, appositamente predisposti per una funzionalità remota.
Nel primo caso il livello di sicurezza può essere determinato a priori dal CIO o dal CISO in accordo con il DPO per quanto riguarda la tipologia dei dati trattati (è infatti di tutta evidenza che le misure di sicurezza debbano variare anche in relazione alla tipologia dei dati personali oggetto del trattamento e che, nel caso in esame, possono contemplare anche dati sensibili ex articolo 9 del GDPR come, per esempio, i dati sulla salute gestiti dalla piattaforma Mywellness o i dati legati alla iscrizione al sindacato, oltre a tutte le altre informazioni sensibili gestite dalla Direzione HR).
Nel secondo caso invece, qualora il lavoratore utilizzi dispositivi di sua proprietà, è necessario adottare anche una policy Bring Your Own Device. Per i contenuti minimi di una policy BYOD si rimanda all’allegato A.
Tra gli altri aspetti da valutare in tema di sicurezza del processo:
- L’attivazione di una connessione VPN tra il dispositivo remoto e l’azienda, attraverso il quale accedere direttamente agli applicativi e ai dati aziendali;
- La predisposizione di un sistema di gestione remota del dispositivo con la quale i tecnici possano monitorare e gestire eventuali problemi (come ad esempio le piattaforme Teamviewer, Kaseya, Solarwind, ManageEngine).
- L’adozione di sistemi di crittografia e di autenticazione degli accessi, se necessario a più fattori.
- L’adozione di piani di backup e di protezione da malware o virus.
- L’attività di formazione e di sensibilizzazione sull’utilizzo, custodia e protezione degli strumenti impiegati per rendere la prestazione nonché sulle cautele comportamentali da adottare nello svolgimento della prestazione lavorativa in modalità agile.
- Le modalità di gestione dei Data Breach.
- L’eventuale uso promiscuo dei device aziendali anche per usi privati da parte del Lavoratore o dei suoi familiari.
- La sicurezza delle reti domestiche o pubbliche di connessione.
- Eventuali penetration test e vulnerability assessment focalizzati sullo smart working.
2.2 Predisposizione di una Policy Aziendale sullo smart working (Home Working Policy).
Il Datore di Lavoro deve redigere delle specifiche linee guida per garantire una corretta esecuzione della prestazione lavorativa nel pieno rispetto delle misure di sicurezza e alla luce della necessaria cooperazione dello smart worker.
In particolare, deve suggerire accorgimenti e regole in tema di utilizzo e ricovero degli strumenti di lavoro; di gestione della password; di operatività dell’antivirus; di conservazione di file e documenti; di protezione dei dispositivi portatili; di utilizzo di Internet e della posta elettronica.
Un paragrafo dovrebbe ricomprendere le modalità di gestione (creazione, conservazione e distruzione) dei documenti cartacei eventualmente prodotti durante la prestazione lavorativa o trasferiti dall’azienda per consentire la stessa.
Per quanto riguarda gli aspetti di privacy, la Policy dovrebbe specificare che il dipendente è tenuto alla più̀ assoluta riservatezza sui dati e sulle informazioni in suo possesso e/o disponibili sul sistema informativo e conseguentemente dovrà̀ adottare, in relazione alla particolare modalità̀ della sua prestazione, ogni provvedimento idoneo a evitare che ai dati possano accedere persone non autorizzate presenti nel luogo di prestazione fuori sede.
La Policy dovrebbe infine indicare, in via preventiva, le conseguenze disciplinari in caso di violazione delle regole di comportamento e fornire informazioni circa le eventuali attività di monitoraggio, che devono attenersi ai principi di necessità, correttezza, pertinenza e non eccedenza. Per i contenuti minimi di una policy sullo smart working si rimanda all’allegato B.
2.3 Eventuale svolgimento di una Data Protection Impact Assessment (DPIA).
La DPIA è una valutazione di impatto sulla protezione dei dati. Una DPIA non è sempre necessaria ma, ai sensi dell’art. 35 del GDPR[2], è obbligatorio quando il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il successivo comma 3 dello stesso articolo indica alcuni criteri di massima ai quali attenersi per definire se un trattamento possa presentare un rischio elevato e in particolare la lettera b) prevede che: “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a)…omissis; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; c)… omissis.
Anche sulla scorta dei chiarimenti riportati nelle Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 (adottate dal WP-29 il 04.04.2017), il Titolare del Trattamento è quindi chiamato a una valutazione preliminare sui rischi del trattamento e quindi sulla necessità di effettuare una DPIA, tenendo sempre a mente che: “Se la necessità di una DPIA non emerge con chiarezza, il WP29 raccomanda di farvi comunque ricorso in quanto la DPIA contribuisce all’osservanza delle norme in materia di protezione dati da parte dei titolari di trattamento”
2.4 Predisposizione di una informativa privacy.
Al Lavoratore deve essere sempre fornita una adeguata informativa privacy, ai sensi degli artt. 12 e 13 del GDPR, circa il trattamento dei suoi dati personali raccolti mediante gli strumenti utilizzati e i software dai quali può derivare la possibilità di controllo da parte del Datore di Lavoro che integri quella già fornita in sede di assunzione. Per i contenuti minimi di una informativa privacy si rimanda all’allegato C.
- Aggiornamento del registro dei Trattamenti.
Il DPO deve integrare il Registro dei Trattamenti relativi alla gestione del personale inserendo lo smart working tra i processi oggetto di valutazione, con i nuovi riferimenti che riguardano le attività svolte da remoto (strumenti, esternalizzazioni, misure di sicurezza…).
2.6 Predisposizione di una specifica procedura in caso di Data Breach.
I Lavoratori devono essere adeguatamente informati dell’obbligo di dare tempestiva informazione al Datore di Lavoro nel caso in cui si verifichi – nell’ambito della sua attività – una violazione dei dati personali oggetto di trattamento che ponga a rischio i diritti e le libertà delle persone fisiche.
Milano 16.08.2022
[1] Proprio sugli adempimenti di cui all’art. 4 dello Statuto dei Lavoratori, si segnala la sentenza della Suprema Corte 18302/2016 che ha sanzionato un Datore di Lavoro il quale, pur avendo informato i lavoratori, non aveva provveduto a siglare accordo sindacale o a richiedere autorizzazione alla DTL. Nella sentenza si legge: “Il Datore di lavoro provvedeva – non solo alla, di per sé lecita, inibizione dell’accesso dei lavoratori a determinate categorie di siti Internet, ma anche – alla registrazione dei cd. file Log (identificativi di indirizzo Ip, cioè della postazione di lavoro, dell’utenza contattata, della data ed ora dell’accesso o del tentativo di accesso), senza che fossero state espletate le procedure previste dalla legge per lo svolgimento delle attività che comportino anche solo la possibilità di controllo a distanza dei lavoratori. Ed è irrilevante che i lavoratori fossero stati messi a conoscenza delle modalità di acquisizione dei dati di traffico, conservati per un periodo di tempo prolungato (da sei mesi a un anno)”.
[2] Art. 35 comma 1 del GDPR: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.