SMART WORKING E PRIVACY

Lo Smart Working in Italia è un fenomeno che, negli ultimi anni in particolre, si è sviluppato a macchia d’olio. Sempre più aziende hanno implementato sistemi efficienti di lavoro intelligente, lontano dagli “uffici fisici”, permettendo ai propri dipendenti e collaboratori di lavorare comodamente presso le proprie abitazioni o in luoghi adibiti allo Smart Working. In più, la pandemia e le continue misure di prevenzione della diffusione del Covid-19 hanno fatto sì che lo smart working fosse focalizzato sotto una lente di maggior tutela, considerazione e valorizzazione. Vediamo insieme quanto e quali temi legati a privacy e compliance GDPR hanno influito sullo Smart Working in Italia.

1. SMART WORKING: QUANTO È CAMBIATO IL PANORAMA DEL MONDO DEL LAVORO

Il fenomeno dello Smart Working, come anticipato, ha cambiato profondamente il panorama dell’organizzazione del lavoro degli ultimi anni.

In ottica diffusione dello Smart Working, è interessante analizzare i risultati della ricerca dell’Osservatorio Professionisti e Innovazione Digitale della School of Management del Politecnico di Milano: questi ci illustrano come i progetti strutturati di smart working sono numerosi soltanto negli studi di grandi (47% del campione) e medie dimensioni (40%), mentre risultano meno sviluppati nelle micro (pari al 26%) e nelle piccole realtà (21%).

Gli studi più avanzati godono della tipicità di essere multidisciplinari; infatti, i progetti strutturati di smart working sono pari al 37% del campione ed in quelli informali sono presenti nel 30%.

Tali studi risultano primi anche per obiettivi formalmente assegnati (33%), offerta di tecnologie per lavorare in mobilità (71%), flessibilità di luogo di lavoro (nel 77% è possibile lavorare da casa, nel 52% in altri luoghi) e iniziative di lavoro agile dedicate ai dipendenti (51%, strutturate nel 23% dei casi), anche se per questi ultimi l’offerta di flessibilità e tecnologie è molto più limitata.

Lo smart working, anche in virtù di quanto indicato sopra, pone davanti a questi dati rilevanti questioni sotto il profilo privacy, considerando tutta una serie di possibili rischi.

In base a quanto disposto dal GDPR infatti, le aziende o gli studi professionali, in qualità di titolari del trattamento, devono mettere in atto misure tecniche e organizzative, idonee a garantire un livello di sicurezza dei dati trattati adeguato al rischio e gravità per i diritti e le libertà delle persone fisiche, tenendo conto dello stato dell’arte, dei costi di attuazione e del contesto e delle finalità del trattamento.

Ma vediamo più nello specifico cosa comporta garantire la privacy nello smart working.

2. SMART WORKING E ACCOUNTABILITY, IL PRINCIPIO CARDINE PER LA TUTELA DELLA PRIVACY

In ottica Smart working, il Titolare del trattamento, deve tener conto del rispetto del principio di accountability, il quale dispone che obiettivo di ogni titolare, responsabile e addetto al trattamento dei dati, è l’essere accountable con il GDPR, e, per garantire tutto questo, il Titolare del trattamento deve essere in grado di adottare e far rispettare politiche misure di sicurezza adeguate al fine di garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato sia conforme ai principi stessi del GDPR.

Questo significa non solo divenire responsabile delle scelte di mezzi, operazioni, procedure, finalità in materia di trattamento dei dati, ma anche essere in grado di “dare conto” delle valutazioni svolte alla base delle scelte operate.

smart working, il principio di accountability si estende a qualsiasi iniziativa o misura intesa a favore i trattamenti di dati da svolgersi in modalità di smart working e ciò implica il porre in essere tutta una serie dii comportamenti proattivi, che dimostrino la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR.

Spetta al Titolare, quindi, decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce dei criteri specifici indicati nel GDPR.

Nella pratica, ogni Titolare deve:

  • integrare il registro dei trattamenti, da tenersi ai sensi dell’art. 30 GDPR, con nuovi elementi (trattamenti, banche dati, strumenti, esternalizzazioni, misure di sicurezza) che dovessero riguardare le attività in smart working; questi elementi saranno utili anche per formulare pareri professionali sulla materia;
  • valutare, in base a quanto disposto nel GDPR e nello Statuto dei Lavoratori il potenziale invasivo di eventuali sistemi, che consentano il monitoraggio dell’utilizzo degli strumenti e della “rete aziendale”, eventualmente sottoponendoli a valutazione d’impatto – DPIA ex 33 GDPR;
  • valutare la necessità di integrare l’informativa ai lavoratori, in virtù di eventuali nuovi trattamenti datoriali collegati allo smart working;
  • integrare o riformulare, in funzione del contesto delocalizzato, le istruzioni per la sicurezza dei dati da rendersi allo smart worker;
  • intraprendere specifiche iniziative di formazione per fornire allo stesso gli opportuni strumenti di conoscenza e consapevolezza;
  • ampliare, se necessario, l’ambito di autorizzazione degli amministratori di sistema;
  • verificare che le soluzioni informatiche eventualmente sviluppate internamente per consentire lo svolgimento del lavoro a distanza siano conformi ai principi di privacy by design/by default e garantiscano la sicurezza dei dati ex 32 GPDR;
  • verificare la contrattualistica e la conformità al GDPR delle soluzioni o piattaforme fornite da terzi (ad esempio, per il networking), valutando la necessità e l‘adeguatezza di eventuali data processing agreement da sottoscrivere ai sensi dell’art. 28 del GDPR per la nomina a Responsabili del trattamento.

3. SMART WORKING E LAVORATORI, QUALI MISURE POSSONO GARANTIRE UN ADEGUATO LIVELLO DI PRIVACY?

Il nodo solido per un’azienda sono, come ben si sa, le risorse e gli strumenti che queste hanno a disposizione per poter svolgere al meglio l’attività lavorativa.

Quando si affronta il tema privacy in azienda e in particolar modo nel caso di smart working, è di fondamentale importanza la consapevolezza dei lavoratori: il Titolare del trattamento deve informare i lavoratori, nonché i professionisti facenti parte di uno studio professionale in smart working su quale sia l’ambito di trattamento consentito.

Gli stessi saranno autorizzati ad eseguire i medesimi trattamenti di dati, che sono ammessi a svolgere in ufficio o presso lo studio professionale secondo le proprie mansioni, fatte salve le attività non eseguibili da remoto, nonché le diverse e specifiche indicazioni del Datore di lavoro, correlate alla diversa modalità di operare.

Un altro elemento da tenere fortemente in considerazione è la questione dei dispositivi aziendali e la loro protezione: difatti, qualora il lavoratore o il collaboratore non disponga di un dispositivo “aziendale” protetto ed adeguatamente fornito di tutte le misure tecniche ed organizzative fornite dalla società ed utilizzi un dispositivo personale per eseguire la prestazione lavorativa, deve aver cura e garantire di:

  • utilizzare un dispositivo, se possibile, ad uso esclusivo personale;
  • creare un account personale nel caso in cui il dispositivo sia ad uso condiviso con i familiari e in modo che il lavoratore acceda ad una partizione a suo uso esclusivo;
  • proteggere l’accesso al dispositivo (o alla propria partizione) con credenziali conosciute soltanto del lavoratore, evitando qualsiasi forma di condivisione;
  • evitare il ricorso a credenziali facilmente intuibili o ricostruibili;
  • verificare che il dispositivo sia aggiornato quanto a misure di protezione, quali antivirus, antimalware, e firewall e a tal fine il Datore di lavoro dovrà indicare i tool di sicurezza più adatti;

4. SMART WORKING E TUTELA DELLA PRIVACY, QUALI CONCLUSIONI SI POSSONO TRARRE?

Per concludere rispetto a quanto esaminato fino ad ora riguardo lo smart working e la tutela della privacy, potrebbe essere di interesse per entrambe le parti che il Titolare identifichi un referente che il personale agile o i professionisti, facenti parte della società, possano contattare per esporre tutti i propri dubbi o segnalare criticità in atto.

Spesso delocalizzare il posto di lavoro può significare, infatti, per il Datore di lavoro, perdere una significativa quota di controllo su quello che accade nella sua organizzazione, e per il lavoratore, perdere i riferimenti tipici di un contesto fisico frequentato magari per anni.

Ascoltare gli smart worker sarà, quindi, importante, anche per capire quali aspetti possono essere migliorati e quali strumenti possono meglio asservire le nuove esigenze.