COVID. Smartworking and privacy compliance in times of pandemic.

11 apr 2020

 

        

Negli ultimi giorni è stata richiesta frequentemente la nostra consulenza da parte delle piccole e medie imprese che, a causa delle misure di contenimento del Covid-19 adottate dal Governo per fronteggiare l’emergenza epidemiologica, si sono trovate a dover riorganizzazione drasticamente la propria attività facendo ricorso allo strumento del lavoro agile, più conosciuto come smartworking.  

In particolare, la richiesta di consulenza attiene sia ai profili giuslavoristici dello smartworking sia ai profili di compliance di tale modalità di svolgimento dell’attività lavorativa da remoto con la normativa nazionale ed europea dettata in materia di protezione dei dati personali.

Riteniamo pertanto utile fornire indicazioni di carattere generale in merito al lavoro agile alla luce della normativa in materia di privacy, per poter infine indagare se tale normativa possa trovare un’interpretazione ed un’applicazione più elastica in considerazione del carattere emergenziale delle misure che le aziende italiane stanno adottando.

Innanzitutto, il lavoro agile o “smartworking” è stato introdotto dalla L. n. 81 del 22 maggio 2017 quale differente modalità di esecuzione della prestazione lavorativa resa in luogo diverso dai locali aziendali e, non essendo qualificabile come autonoma tipologia contrattuale, può essere applicata ed estesa a tutti i lavoratori le cui mansioni siano con essa compatibili.

Sebbene tale modalità di svolgimento della prestazione sia già entrata nella realtà lavorativa quotidiana delle grandi realtà aziendali italiane, essa era pressoché inutilizzata dalle piccole e medie imprese, che si sono trovate a dovervi ricorrere per poter proseguire le proprie attività in considerazione delle misure governative adottate per contrastare l’emergenza epidemiologica in corso, nonché per garantire l’attuazione ed il pieno rispetto degli obblighi di sicurezza e protezione dei lavoratori gravanti sul datore di lavoro disciplinati dal D.lgs. 81/2008.

Per quel che qui interessa, le principali criticità del lavoro agile sotto il profilo della compliance con la normativa dettata in materia di privacy attengono innanzitutto l’adozione di strumenti informatici adeguati ad assicurare il corretto trattamento e la protezione dei dati trattati dal lavoratore, nonché la necessaria preventiva informazione/formazione del lavoratore sulle corrette procedure da attuare in concreto.

In linea generale e precisando che la corretta attuazione della normativa privacy non può prescindere da una valutazione nel caso concreto dei rischi connessi all’effettivo trattamento e alla natura dei dati trattati dalla singola impresa, si riassumono qui di seguito quelle che si ritengono essere le principali pratiche che dovrebbero essere adottate dal datore di lavoro (ovvero dal titolare del trattamento):

  • La configurazione degli strumenti informatici utilizzati dal lavoratore agile (sia che essi siano di proprietà del datore di lavoro che del lavoratore) con idonei software antivirus e software che permettano di effettuare backup periodico dei dati sul server centrale aziendale;
  • La predisposizione di adeguate misure di autenticazione che consentano l’effettiva verifica dell’identità di chi accede da remoto ai dati aziendali (ad esempio, sistemi di autenticazione a due fattori);
  • La previsione di un sistema di tempestiva segnalazione al datore di lavoro in caso di violazione e/o smarrimento delle dotazioni informatiche (tale da consentire al datore di lavoro di effettuare le dovute notifiche al Garante e agli interessanti ai sensi degli artt. 33 e 34 del Reg. UE 679/2016 o “GDPR”);
  • La predisposizione e l’attuazione di un’adeguata informativa preventiva al lavoratore agile in merito alle corrette modalità di utilizzo degli strumenti informatici in dotazione ed in merito alle finalità del trattamento, facendo espresso richiamo ai principi di liceità, correttezza e trasparenza che debbono caratterizzalo; nonché delle linee guida alle quali il lavoratore deve attenersi per assicurare un corretto trattamento dei dati aziendali

In merito, riteniamo di particolare importanza segnalare al lavoratore una particolare diligenza e cautela nelle situazioni pratiche di seguito evidenziate:

  • Evitare l’utilizzo di chiavette USB ad uso promiscuo, ovvero sulle quali vengano utilizzati sia dati personali del lavoratore sia dati aziendali (sarebbe inoltre preferibile l’utilizzo di chiavette crittografate);
  • Prestare particolare attenzione alla custodia dei device utilizzati per la prestazione dell’attività lavorativa;
  • Non lasciare incustodite eventuali copie cartacee di documenti e, se possibile, riporli in un luogo sicuro e separato dalla documentazione personale, evitando che altri membri del nucleo familiare possano entravi in contatto anche involontariamente;
  • Nell’eventualità di distruzione di copie cartacee, sincerarsi che quest’operazione sia compiuta con modalità idonee ad evitare che terzi possano, anche involontariamente, venire a conoscenza del contenuto di tali documenti;

Si precisa, inoltre, che tutte le misure adottate dal datore di lavoro di predisposizione ed attuazione dei sistemi informatici per permettere ai propri lavoratori di proseguire la propria attività in “smartworking”, dovrebbero essere ispirate al principio della minimizzazione dei dati. In tal senso, occorre disporre non un accesso illimitato del lavoratore agile ai dati aziendali, ma possibilmente minimizzare i dati ai quali il lavoratore possa accedere da remoto ai soli dati pertinenti allo svolgimento delle sue mansioni.

Occorre peraltro evidenziare che il datore di lavoro, in qualità di titolare del trattamento, è responsabile di eventuali violazioni dei dati personali commesse dal lavoratore agile, nonché dell’adeguatezza delle misure di sicurezza adottate in concreto per la protezione e la salvaguardia dei dati trattati dai propri dipendenti. Si ritiene tuttavia utile precisare che è intrinseco nella natura dell’istituto del lavoro agile che il lavoratore sia chiamato a prestare un comportamento particolarmente diligente sia nella conservazione che nel trattamento dei dati nel rispetto della loro riservatezza e protezione, nonché in attuazione delle linee guida fornite dal datore di lavoro.

Pare inoltre ragionevole ritenere che le misure tecniche e organizzative che devono essere messe in atto dal titolare e dal responsabile del trattamento per assicurare un adeguato livello di sicurezza del trattamento stesso ai sensi dell’art. 32 del GDPR, possano trovare un’applicazione più elastica in relazione alle procedure di smartworking adottate dai datori di lavoro per fronteggiare l’emergenza epidemiologica in atto. Infatti, proprio in considerazione del dettato dell’art. 32 del GDPR, tali misure debbono essere attuate dal titolare del trattamento “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento”. Il richiamo della norma al “contesto” nel quale le misure tecniche ed organizzative per garantire la sicurezza del trattamento debbono essere adottate, pare lasciare aperta un’interpretazione meno rigida della stessa con riguardo alle misure adottate nel contesto odierno dai datori di lavoro; contesto tutt’altro che prevedibile e che non ha lasciato molto tempo ai datori di lavoro per poter predisporre al meglio l’attività da remoto dei propri lavoratori.

Si segnala, tuttavia, che ad oggi il Garante della Privacy non si è ancora espresso nel merito, ma si auspica che un suo intervento possa avvallare un’interpretazione più elastica delle norme in materia di protezione dei dati personali applicabili al lavoro agile in considerazione del particolare contesto nazionale e della grave emergenza che le piccole e medie imprese si trovano a dover affrontare anche sotto un profilo economico e di sostenibilità aziendale.

©  Carlo Piola – Cristina Camia