La diffusione dello smart working a causa dell’epidemia di coronavirus rende attuale approfondire quali siano i profili in materia di data protection relativi a questa attività, alla luce della normativa emergenziale e del GDPR

Lo smart working pone rilevanti questioni sotto il profilo privacy, considerando i possibili rischi. Infatti, in base a quanto disposto dal GDPR, l’azienda o lo studio professionale, quale titolare del trattamento, deve mettere in atto misure tecniche e organizzative, idonee a garantire un livello di sicurezza dei dati trattati adeguato al rischio e gravità per i diritti e le libertà delle persone fisiche, tenendo conto dello stato dell’arte, dei costi di attuazione e del contesto e delle finalità del trattamento.

La diffusione dello smart working

Tuttavia, in base ai risultati della ricerca dell’Osservatorio Professionisti e Innovazione Digitale della School of Management del Politecnico di Milano, i progetti strutturati di smart working sono numerosi soltanto negli studi di grandi (47% del campione) e medie dimensioni (40%), mentre risultano meno sviluppati nelle micro (pari al 26%) e nelle piccole realtà (21%). Gli studi più avanzati sono i multidisciplinari. Negli stessi, infatti, i progetti strutturati di smart working sono pari al 37% del campione ed in quelli informali sono presenti nel 30%. Tali studi risultano primi anche per obiettivi formalmente assegnati (33%), offerta di tecnologie per lavorare in mobilità (71%), flessibilità di luogo di lavoro (nel 77% è possibile lavorare da casa, nel 52% in altri luoghi) e iniziative di lavoro agile dedicate ai dipendenti (51%, strutturate nel 23% dei casi), anche se per questi ultimi l’offerta di flessibilità e tecnologie è molto più limitata.

Estensione dell’accountability

Innanzitutto, il Titolare deve tener conto del rispetto del principio di accountability (uno dei pilastri su cui si fonda l’impianto normativo del GDPR), il quale dispone che obiettivo di ogni titolare, responsabile e addetto al trattamento dei dati, è l’essere accountable con il Regolamento, ovvero il Titolare del trattamento adotta politiche ed attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso GDPR.  Questo significa non solo divenire responsabile delle scelte di mezzi, operazioni, procedure, finalità in materia di trattamento dei dati, ma anche essere in grado di “dare conto” delle valutazioni svolte alla base delle scelte operate.

Con riferimento allo smart working, il principio di accountability si estende a qualsiasi iniziativa o misura intesa a favore i trattamenti di dati da svolgersi in modalità di smart working e ciò implica il porre in essere di comportamenti proattivi, che dimostrino la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR. Spetta al Titolare, quindi, decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce dei criteri specifici indicati nel GDPR. Nella pratica, il Titolare deve:

• integrare il registro dei trattamenti, da tenersi ai sensi dell’art. 30 GDPR, con nuovi elementi (trattamenti, banche dati, strumenti, esternalizzazioni, misure di sicurezza) che dovessero riguardare le attività in smart working; questi elementi saranno utili anche per formulare pareri professionali sulla materia;
• valutare, in base a quanto disposto nel GDPR e nello Statuto dei Lavoratori il potenziale invasivo di eventuali sistemi, che consentano il monitoraggio dell’utilizzo degli strumenti e della “rete aziendale”, eventualmente sottoponendoli a valutazione d’impatto – DPIA ex 33 GDPR;
• valutare la necessità di integrare l’informativa ai lavoratori, in virtù di eventuali nuovi trattamenti datoriali collegati allo smart working;
• integrare o riformulare, in funzione del contesto delocalizzato, le istruzioni per la sicurezza dei dati da rendersi allo smart worker;
• intraprendere specifiche iniziative di formazione per fornire allo stesso gli opportuni strumenti di conoscenza e consapevolezza;
• ampliare, se necessario, l’ambito di autorizzazione degli amministratori di sistema;
• verificare che le soluzioni informatiche eventualmente sviluppate internamente per consentire lo svolgimento del lavoro a distanza siano conformi ai principi di privacy by design/by default e garantiscano la sicurezza dei dati ex 32 GPDR;
• verificare la contrattualistica e la conformità al GDPR delle soluzioni o piattaforme fornite da terzi (ad esempio, per il networking), valutando la necessità e l‘adeguatezza di eventuali data processing agreement da sottoscrivere ai sensi dell’art. 28 del GDPR per la nomina a Responsabili del trattamento.

L’importanza della consapevolezza dei lavoratori

Il Titolare del trattamento deve informare i lavoratori, nonché i professionisti facenti parte di uno studio professionale in smart working su quale sia l’ambito di trattamento consentito. Gli stessi saranno autorizzati ad eseguire i medesimi trattamenti di dati, che sono ammessi a svolgere in ufficio o presso lo studio professionale secondo le proprie mansioni, fatte salve le attività non eseguibili da remoto, nonché le diverse e specifiche indicazioni del Datore di lavoro, correlate alla diversa modalità di operare. Parimenti, è opportuno che il Titolare ribadisca al personale ed ai professionisti in smart working che essi sono tenuti ad attenersi, qualora compatibili ed e applicabili al contesto “extra aziendale”, alle medesime istruzioni e procedure già rese dal Titolare in tema di trattamento e tenuta in sicurezza dei dati personali. Pertanto, è necessario che il Titolare informi i lavoratori ed i professionisti che anche in caso di prestazioni rese a distanza, permangono e, quindi, vigono gli obblighi generali di:

• non violare il segreto e la riservatezza delle informazioni trattate;
• proteggere i dati contro i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito;
• rispettare e applicare le misure di sicurezza fisiche, informatiche, organizzative, logistiche e procedurali;
• utilizzare soltanto per rendere la prestazione lavorativa gli eventuali strumenti tecnologici “aziendali”, quali computer, smartphone, ecc., che il Titolare abbia concesso in uso anche al di fuori della struttura;
• contattare il Titolare o l’amministratore di sistema per qualsiasi dubbio, sospetto di incidente o di violazione che possa compromettere i dati aziendali o dello studio professionale.

Inoltre, gli smart worker devono essere informati dal Titolare della necessità di adottare specifiche cautele in relazione alla propria postazione di lavoro. La finalità è quella di specificare in relazione al contesto i principi di preservazione della riservatezza e dell’integrità delle informazioni aziendali, tra cui rientrano i dati personali trattati in esecuzione delle proprie mansioni, in quanto per molti lavoratori può porsi il problema della promiscuità, aspetto questo che è risultato particolarmente evidente durante il lockdown quando gran parte di noi si è trovata a lavorare in uno stato di costante contiguità coi propri familiari.

La protezione degli strumenti personali usati per lavorare

Qualora il lavoratore o il collaboratore non disponga di un dispositivo “aziendale” o fornito dallo studio professionale ed utilizzi un dispositivo personale per eseguire la prestazione lavorativa, deve aver cura di:

• utilizzare un dispositivo, se possibile, ad uso esclusivo personale;
• creare un account personale nel caso in cui il dispositivo sia ad uso condiviso con i familiari e in modo che il lavoratore acceda ad una partizione a suo uso esclusivo;
• proteggere l’accesso al dispositivo (o alla propria partizione) con credenziali conosciute soltanto del lavoratore, evitando qualsiasi forma di condivisione;
• evitare il ricorso a credenziali facilmente intuibili o ricostruibili;
• verificare che il dispositivo sia aggiornato quanto a misure di protezione, quali antivirus, antimalware, e firewall e a tal fine il Datore di lavoro dovrà indicare i tooldi sicurezza più adatti;
• verificare che il devicesia aggiornato con l’ultima versione disponibile del sistema operativo su cui gira;
• non salvare i “documenti aziendali” nella memoria del proprio dispositivo o in altre periferiche personali laddove siano disponibili funzioni di salvataggio su server aziendali;
• non aprire allegati o link che destino sospetti;
• non scaricare programmi di dubbia provenienza;
• disconnettersi accuratamente a fine sessione dagli applicativi aziendali.

Protezione del dispositivo di lavoro aziendale

Con riguardo ai dispositivi di lavoro forniti dal Titolare, lo strumento dovrebbe essere già predisposto, quanto a sicurezza, delle informazioni tramite dotazione di:

• sistema operativo aggiornato;
• misure di protezione da intrusioni (antivirus, firewall, patch di sicurezza) aggiornate. Il lavoratore o il professionista dovrà essere comunque chiamato a scaricare gli opportuni aggiornamenti, laddove il Datore di lavoro non abbia implementato automatismi a riguardo.
• tecniche di cifratura;
• eventuale blocco delle porte USB e di connettori ad altre periferiche;
• configurazione dell’accesso remoto ai sistemi aziendali;
• configurazione del pacchetto di applicativi autorizzati;
• tool script di back-up automatizzato su server aziendale.

Gli smart worker devono, quindi, seguire le procedure specificamente previste dal Titolare per l’utilizzo degli strumenti di lavoro, per quanto compatibili. Tuttavia, con riferimento all’utilizzo di tali dispositivi di lavoro aziendale o fornito dallo studio professionale, il Titolare deve emanare una regolamentazione specifica, ben potendo integrare la procedura già esistente relativa all’utilizzo degli strumenti di lavoro o predisponendo una procedura ad hoc per l’utilizzo in remoto di siffatti strumenti di lavoro. Tale regolamentazione, oltre agli obblighi generali di riservatezza e le misure di sicurezza della postazione, deve prevedere:

• il divieto di modifica delle impostazioni pre-configurate dal datore;
• il divieto assoluto di condivisione del dispositivo e delle credenziali di accesso;
• il divieto di installazione software o applicativi non autorizzati;
• il divieto di navigazione in siti non attinenti al lavoro e poco sicuri, sempre che il Titolare non abbia impostato appositi filtri;
• il divieto di accedere ad eventuali webmail personali;
• il divieto di apertura di allegati sospetti;
• le modalità eventualmente consentite per l’archiviazione e/o conservazione in locale o su sopporti mobili di qualsivoglia documento o file contenente dati personali.

Inoltre, il Titolare deve fornire indicazioni sul comportamento che il lavoratore agile dovrà tenere quando riscontri delle criticità. Ad esempio, in caso di anomalie o blocchi dovuti a virus o malware, lo smart worker dovrà sospendere ogni operazione, chiudere il sistema e le relative applicazioni, nonché informare immediatamente le funzioni IT.

Accesso ai sistemi aziendali o dello studio professionale

I Titolari devono scegliere un modo sicuro per gestire le connessioni da remoto ai sistemi informatici, prestando particolare attenzione alle specifiche problematiche connesse all’uso, ad esempio, di una rete VPN piuttosto che gli accessi ad un sistema cloud based. Al riguardo i Titolari devono tener conto non solo dell’evoluzione delle tecnologie a disposizione, ma anche di quali tra loro sono da considerarsi esposti ad un maggior cyber-rischio in un determinato “periodo storico”. Infatti, secondo il recente Data Breach Investigations Report di Verizon del 2020, il 43% dei data breach verificatisi nel 2019 ha riguardato applicazioni web e tale percentuale risulta raddoppiata rispetto all’anno precedente. Il Titolare deve, quindi, eseguire un accurato assessment sulla serietà del fornitore, sulle condizioni contrattuali e sulle dotazioni/garanzie di sicurezza della tecnologia prescelta. Per quanto riguarda la linea con cui collegarsi ai sistemi, il Titolare deve informare lo smart worker che si connette da remoto che:

• occorre evitare di attingere la connettività domestica da Wi-Fi altrui, o da hot spot sconosciuti oppure pubblici;
• l’accesso alla rete domestica deve essere protetta da credenziali adeguate (nome di rete non associabile alla persona e password sufficientemente complessa);
• è necessario verificare che il firmware del proprio router sia debitamente aggiornato (seguendo le istruzioni del fornitore della rete o del modem) perché un modem fuori produzione o privo di updateautomatici può degradare la connettività e, soprattutto, offrire vulnerabilità che consentono agli hacker di violare l’infrastruttura cui fornisce collegamento.

Diritto alla disconnessione

Altro tema da affrontare e riguardante principalmente le realtà aziendali, nonché gli studi professionali aventi dipendenti, riguarda il diritto alla disconnessione, ovvero il diritto del lavoratore ad un tempo di riposo durante il quale potersi rendere irreperibile, senza che ciò abbia delle ripercussioni sotto il profilo della retribuzione e della prosecuzione del rapporto lavorativo. Gli strumenti da lavoro, ad esempio computer e smartphone, utilizzati dallo smart worker per prestare la propria attività lavorativa, permettono una reperibilità ed una connessione, non solo potenziale ma di fatto, costante e continua. Ciò rischia di compromettere il bilanciamento tra vita professionale e vita privata, che è tra i presupposti dell’istituto del lavoro agile.

Nonostante la semplificazione dell’attivazione del lavoro agile durante l’emergenza sanitaria legata alla diffusione del Covid-19, per il legittimo utilizzo dello smart working, devono comunque essere rispettati tutti gli obblighi prescritti dalla normativa vigente sul tema. Come detto, in base a quanto disposto dal 1 comma dell’art. 18 della L. n. 81/2017, lo smart working viene definito quale “modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa. La prestazione lavorativa viene eseguita…… entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva”.

Inoltre, il 1 comma dell’art. 19 della L. n. 81/2017, prevede che “L’accordo relativo alla modalità di lavoro agile è stipulato per iscritto ai fini della regolarità amministrativa e della prova, e disciplina l’esecuzione della prestazione lavorativa svolta all’esterno dei locali aziendali, anche con riguardo alle forme di esercizio del potere direttivo del datore di lavoro ed agli strumenti utilizzati dal lavoratore. L’accordo individua altresì i tempi di riposo del lavoratore nonché le misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche di lavoro”. Inoltre, ai sensi del 1 comma dell’art. 22 della L. n. 81/2017, “il datore di lavoro garantisce la salute e la sicurezza del lavoratore che svolge la prestazione in modalità di lavoro agile e a tal fine consegna al lavoratore e al rappresentante dei lavoratori per la sicurezza, con cadenza almeno annuale, un’informativa scritta nella quale sono individuati i rischi generali e i rischi specifici connessi alla particolare modalità di esecuzione del rapporto di lavoro”.

Come noto, l’obbligo di accordo scritto con il lavoratore è temporaneamente sospeso per il periodo emergenziale correlato al diffondersi del Covid-19. Infatti, il comma 4 dell’art. 90 del D.L. n. 34 del 19/05/2020, recante “Misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonché di politiche sociali connesse all’emergenza epidemiologica da COVID-19” ha disposto che “Fermo restando quanto previsto dall’articolo 87 del decreto-legge 17 marzo 2020, n. 18, convertito, con modificazioni, dalla legge 24 aprile 2020, n. 27, per i datori di lavoro pubblici, limitatamente al periodo di tempo di cui al comma 1 e comunque non oltre il 31 dicembre 2020, la modalità di lavoro agile disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81, può essere applicata dai datori di lavoro privati a ogni rapporto di lavoro subordinato, nel rispetto dei principi dettati dalle menzionate disposizioni, anche in assenza degli accordi individuali ivi previsti”. Tale sospensione con riferimento all’obbligo accordo scritto con il lavoratore è stata confermata anche a seguito del recente D.L.  30 luglio 2020, n. 83.

L’intervento del Garante

Ciò posto, prescindendo dalla necessità di cristallizzare gli obblighi normativi sul lavoro agile in un accordo scritto individuale che, in periodo emergenziale, sarebbe complicato ottenere per via dell’obbligo della generalità dei cittadini di permanere presso la propria abitazione, restano comunque invariati gli obblighi, di datori di lavoro e lavoratori, di osservare tutte le norme che regolano il lavoro agile di cui alla Legge n. 81/2017, pertanto, il diritto deve essere garantito. Non è un caso che, il Garante nell’audizione presso la Commissione Lavoro  del Senato del 13 maggio 2020, relativo al tema di “Ricadute occupazionali dell’epidemia da Covid-19, azioni idonee a fronteggiare le situazioni di crisi e necessità di garantire la sicurezza sanitaria nei luoghi di lavoro” ha disposto che  “il diffuso ricorso allo smart working – generalmente necessitato e improvvisato, da parte tanto datoriale quanto dei lavoratori- ha catapultato una quota significativa della popolazione in una dimensione delle cui implicazioni non sempre si ha la piena consapevolezza e di cui va impedito ogni uso improprio” ed ha ribadito l’importanza di “(…) quel diritto alla disconnessione, senza cui si rischia di vanificare la necessaria distinzione tra spazi di vita privata e attività lavorativa, annullando così alcune tra le più antiche conquiste raggiunte per il lavoro tradizionale”.[1]