Lo smart working in modalità semplificata

La diffusione del lavoro agile o smart working nel periodo della pandemia ha sollevato la necessità di una modifica organizzativa delle modalità di lavoro, anche in riferimento alle operazioni di trattamento per la protezione dei dati che provengono dal ricorso alla modalità di lavoro da remoto.

Lo smart working in modalità semplificata – in vigore sino al termine dello stato d’emergenza – ha comportato diverse incertezze dal punto di vista della sicurezza informatica.

Il GDPR

A ciò si unisce l’impatto del Reg. UE 679/2016 (meglio conosciuto come GDPR), che per ben 11 volte accosta il concetto di protezione dati a quello di security.

Il ministro del Lavoro e dello Sviluppo Economico, avvalendosi di un Gruppo di studio “Lavoro agile”, ha inevitabilmente esaminato l’impatto del lavoro agile anche dal punto di vista della protezione dati personali e della sicurezza delle informazioni, imponendo l’adozione di determinate misure.

In prima battuta, l’art. 5 del GDPR prende in considerazione la natura dello strumento utilizzato dal lavoratore per rendere la prestazione lavorativa. La norma lascia alla discrezionalità delle parti la scelta dello strumento e, quindi, la decisione di utilizzare uno strumento aziendale o di proprietà del lavoratore. Si intende da prediligere, tuttavia, la prima opzione.

Il richiamo diffuso alle norme della data protection o protezione dei dati e della “security by design” da parte del datore di lavoro impatta notevolmente sulle operazioni da compiere per la protezione dei dati. Il principio di accountability (responsabilità), che permea l’intero GDPR, impone al Titolare del trattamento di avere il pieno controllo delle operazioni di trattamento svolte.

Solo attraverso un pieno controllo da parte del Titolare sugli strumenti utilizzati dal lavoratore è possibile, infatti, esercitare e accrescere l’accountability richiesta dal GDPR circa la protezione dei dati. Invero, da un punto di vista della sicurezza informatica, gli strumenti aziendali devono preventivamente essere analizzati da parte del Titolare del trattamento affinché lo stesso sia in grado di attuare tutte le misure adeguate ad evitare il rischio informatico che può comportare un data breach (perdita) di dati personali.

Il Protocollo Condiviso

Per tale ragione gli artt. 12 e 13 del Protocollo insistono sull’adozione di misure tecniche e organizzative tese a rafforzare la sicurezza della protezione dei dati, come il ricorso alla crittografia, a politiche di back up e ripristino dati unitamente a politiche volte ad evitare la diffusione di malware, spesso causa di data breach.

In questo disegno risulta fondamentale la formazione dei lavoratori sulle modalità di utilizzo degli strumenti, sulle pratiche volte ad evitare il verificarsi del rischio informatico e sulle pratiche da attuare in caso di incidente.

L’art. 4 dello Statuto dei Lavoratori

Il datore di lavoro, altresì, è tenuto a svolgere un’ulteriore analisi circa la natura dello strumento in relazione all’art. 4 Stat. Lav. Si ricorda che le Autorità, nell’ambito dell’applicazione dell’art. 4, c. 2, Stat. Lav., hanno limitato le ipotesi di strumenti di lavoro alle sole situazioni “pure”, in cui lo strumento è effettivamente necessario a rendere la prestazione lavorativa.

Il datore di lavoro deve valutare la natura degli strumenti assegnati ai lavoratori e comprendere se i classici strumenti di lavoro quali hardware, pc o smartphone abbiano applicativi aggiuntivi tali da delineare anche la mera possibilità di controllo.

Ancora il Protocollo

Il Protocollo richiama altresì l’importanza delle policy di cui l’art. 4, c. 3, Stat. Lav., il quale prevede che le informazioni raccolte ai sensi dell’art. 4 Stat. Lav. siano utilizzabili solo se sia data al lavoratore adeguata pubblicità sulle modalità d’uso degli strumenti e su quelle dei controlli.

Le policy in ambito informatico, inoltre, rappresentano strumenti tanto utili quanto indispensabili, soprattutto a causa dei continui mutamenti tecnologici che non sono disciplinati da una legislazione di settore: spetta al Titolare individuare i comportamenti – di volta in volta – idonei alle nuove esigenze dell’organizzazione.

Il Protocollo richiede al datore di lavoro l’attuazione di politiche nel rispetto del principio di “privacy by design e by default” e raccomanda il compimento di una valutazione di impatto ai sensi dell’art. 35 GDPR per la protezione dei dati. Resta fermo l’obbligo di aggiornamento del registro dei trattamenti di cui all’art. 30 GDPR.