Normative

I rischi di violazione della privacy degli smart worker

Per le aziende è necessario effettuare in tempi stretti un’analisi sui rischi che potrebbero verificarsi in termini di tutela della privacy dei propri clienti e di sicurezza informatica: valutazione d’impatto sulla protezione dei dati, risk management per la sicurezza sul lavoro e l’aggiornamento di eventuali modelli 231 adottati

01 Mag 2020

Alessandra Tursi

avvocato

Mario Soggia

avvocato

I recenti Dpcm che hanno reso obbligatoria la resa della prestazione lavorativa in smart working – qualora compatibile con la realtà organizzativa – interessano circa 8 milioni di persone.

Il lavoro da remoto però non deve consentire la riduzione del trattamento economico rispetto ai prestatori di lavoro con presenza in azienda, né deve abbassare i canoni di salute e sicurezza.

Il legislatore italiano ha introdotto il “lavoro Agile” nel panorama giuridico con gli articoli da 18 a 23 del capo II della Legge 22 maggio 2017 n. 81 con il proclamato fine di “incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro…” (art. 18) .

Si tratta di pochi articoli costituenti una legislazione “leggera” sull’argomento tesa a fornire dei principi cui le parti del rapporto di lavoro subordinato devono attenersi al fine di creare di volta in volta una accordo che sia confacente alla concreta realtà aziendale ed alla reale esigenza di ciascuno.

Il lavoro agile non è infatti un nuovo tipo di rapporto di lavoro subordinato ma una “modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti…” (art. 18).

Datore di lavoro o prestatore di lavoro che liberamente e concordemente decidono di avvalersi della modalità Agile del lavoro devono stipulare un apposito accordo che disciplina gli aspetti relativi alla prestazione lavorativa svolta al di fuori dell’azienda con particolare riguardo alla strumentazione tecnologica utilizzata dal lavoratore, all’eventuale orario di lavoro, all’eventuale individuazione del nuovo luogo di lavoro, all’esercizio del potere direttivo del datore di lavoro, ai tempi di riposo del lavoratore ed alle misure tecniche e organizzative atte ad assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche di lavoro (Art. 19); all’accordo andrà affiancata una informativa scritta nella quale “sono individuati i rischi generali ed i rischi specifici connessi alla particolare modalità di esecuzione del rapporto di lavoro” (art. 22 comma 1).

Modalità di svolgimento del lavoro agile e deroghe durante l’emergenza Covid-19

L’accordo – che va steso per iscritto – è necessario anche ai fini della comunicazione al Centro per l’impiego entro il giorno precedente a quello di inizio di tale modalità esecutiva del rapporto di lavoro.

Con l’accordo scritto le parti danno vita al rapporto in modalità agile per un tempo indeterminato ovvero per un tempo determinato. Nel primo caso l’accordo è liberamente recedibile previo preavviso di 30 giorni; nell’ipotesi in cui lo smart worker sia affetto da disabilità il datore di lavoro ha l’obbligo di rispettare un preavviso di 90 giorni “al fine di consentire un’adeguata riorganizzazione dei percorsi di lavoro rispetto alle esigenze di vita e di cura del lavoratore”. (art. 19) . Lo stesso articolo 19 appena citato prevede invece un recesso immediato da parte di ciascuno dei contraenti per entrambe le modalità contrattuali, nelle ipotesi di ricorrenza di un giustificato motivo.

Ritornando al tema dell’accordo per la modifica delle modalità operative del lavoro, diviene fondamentale per la formazione della decisione di valutare l’esperienza in modalità agile la consapevolezza di ciascuno dei contraenti della non precisa vincolatività dell’orario di lavoro e del luogo di lavoro prescelti almeno tendenzialmente.

Alcuni accordi anche di natura collettiva aziendale che abbiano previsto il collegamento da remoto per la durata di un preciso periodo temporale corrispondente a un preordinato orario di lavoro, tradiscono, a nostro avviso, lo spirito della legge in esame, perché in tal modo l’accordo si limita ad una mera delocalizzazione della prestazione lavorativa pur nel rispetto di un vincolo orario consimile a quello delle risorse presenti in azienda.

Diverso e più appropriato si rivela invece l’accordo che consenta allo smart worker di lavorare e di connettersi alla rete aziendale in totale libertà, ma nell’ambito di un preciso arco temporale giornaliero, corrispondente di solito all’apertura e chiusura dell’azienda. Ovvero più coerenti con la finalità della legge in esame sono le ipotesi contrattuali tese a flessibilizzare ancor maggiormente la scelta dello smart worker in termini di orario di lavoro, impegnando la risorsa soltanto a rispettare una fascia oraria di reperibilità telefonica anche al fine di realizzare incontri via web attraverso le più note piattaforme di collegamento da remoto (Skype, Hangout, Zoom, ecc.).

L’azienda “soggetto vulnerabile” durante l’emergenza

Nel periodo emergenziale la collocazione “forzosa” delle risorse in smart working determina un pericolo per le aziende che non avessero sperimentato per tempo tale modalità. È pertanto necessario effettuare (per quanto possibile dati tempi stretti) un’analisi sui rischi che potrebbero verificarsi in termini di tutela della privacy dei propri clienti e in termini di sicurezza informatica. Ci riferiamo alla valutazione d’impatto sulla protezione dei dati – DPIA (Date Protection Impact Assessment) di cui all’art. 35 GDPR che effettua un bilanciamento degli interessi dal punto di vista della privacy, oppure al risk management relativo alla sicurezza sul lavoro e all’aggiornamento di eventuali modelli 231 adottati.

Tra le attività prodromiche all’instaurazione del rapporto di lavoro in smart working si fa riferimento alla predisposizione di una policy aziendale recante una serie di elementi essenziali rispondenti agli obblighi di informativa facenti capo al datore di lavoro riguardanti, oltre ai basilari doveri di diligenza, le linee guida di comportamento dello smart worker, come ad esempio:

– metodo di utilizzazione dei dati aziendali in smart working;

– allocazione dei dati al cessare della modalità di lavoro in smart working (si richiederà magari una

rimozione massiva di tutti i file aziendali vale a dire i metodi di cancellazione sicura dei dati):

– valutazione di impatto sulla protezione dei dati ex art. 35 GDPR;

– predisposizione di una specifica procedura in caso di data breach ex artt. 33 e 34 GDPR, dovendo i lavoratori dare tempestiva informazione al datore di lavoro nel caso di violazione dei dati personali oggetto di trattamento che ponga a rischio i diritti e le libertà delle persone fisiche

Il tempo di lavoro dello smart worker

Lo studio delle esperienze degli altri paesi, ma anche la legge in esame, sembrano suggerire che la migliore realizzazione di tale modalità di esecuzione della prestazione lavorativa si possa ottenere attraverso la previsione di forme organizzative del lavoro per “fasi, cicli e obiettivi” (comma 1 dell’ art. 18 ).

D’altro canto qualora tali ostacoli dovessero essere superati il lavoratore non è solitamente pronto a una così marcata responsabilizzazione (accountability) nello svolgimento del lavoro, laddove dovrebbe possedere la capacità, acquisibile soltanto con l’esperienza e una adeguata formazione, di organizzare la quotidianità, conciliando i due aspetti di vita e lavoro, nell’intento di rispettare gli obiettivi richiesti o concordati, e attendere al contempo al resto della vita extralavorativa.

Opportunamente uno dei principi della legge in esame e che concorrono a formare l’accordo di lavoro in modalità agile, è proprio la individuazione sia dei tempi di riposo del lavoratore (art. 19), che i “limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge o dalla contrattazione collettiva” (Art. 18), nonché “le misure tecniche ed organizzative necessarie per assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche” (art. 19).

Postazione dello smart worker

L’altro fattore che per legge non dovrebbe soffrire di particolari vincoli è il luogo di lavoro inteso come postazione non fissa che il lavoratore potrà scegliere per svolgere il lavoro da remoto. Per essere più precisi l’art. 18 della legge in esame, nel definire il lavoro agile prevede una alternanza fra lavoro svolto all’interno dei locali aziendali e quello svolto all’esterno, senza una postazione fissa.

360digitalskill
Smart Learning: accresci il mindset digitale dei tuoi collaboratori
Risorse Umane/Organizzazione

Tale alternanza determina la differenza del lavoro agile dal telelavoro che si configura invece quando l’attività lavorativa venga svolta regolarmente da una postazione fissa posta all’esterno dei locali aziendali e coincidente normalmente con la abitazione del lavoratore.

L’indicazione di una postazione fissa da remoto determina un più stringente obbligo in termini di sicurezza da parte del datore di lavoro il quale dovrà effettuare un sopralluogo nel posto da remoto prescelto ed apportare tutte le misure che si rendano necessarie a termini di legge e segnatamente del TU sulla sicurezza sul lavoro.

In tema di lavoro agile, secondo il testo dell’art. 18 le parti possono concordemente indicare il luogo o i luoghi prescelti, sebbene anche in questo caso la più ampia applicazione del lavoro agile si ottiene attraverso la ampia disponibilità di scelta da parte del lavoratore.

La sicurezza sul lavoro indoor e outdoor

La libertà nella scelta del luogo di lavoro esterno ai locali aziendali sancita dall’art. 18 va, a nostro parere, ridimensionata se si amplia la visuale in una dimensione sistematica del tema: basti considerare il successivo articolo 23 della stessa legge 81/17 che in ipotesi di infortunio in itinere (infortunio occorso “durante il normale percorso di andata e ritorno dal luogo dell’abitazione a quello prescelto per lo svolgimento della prestazione lavorativa all’esterno dei locali aziendali”) prevede la copertura assicurativa da parte dell’Inail ma solo “quando la scelta del luogo della prestazione sia dettata da esigenze connesse alla prestazione stessa o dalla necessità del lavoratore di conciliare le esigenze di vita con quelle lavorative e risponda a criteri di ragionevolezza”.

Pertanto pur affermando la libertà di scelta del luogo da remoto, si prevede la copertura assicurativa soltanto nelle ipotesi di una individuazione effettuata in connessione con le esigenze lavorative e secondo ragionevolezza. Altro condizionamento nella libera scelta del luogo di prestazione dell’attività lavorativa da remoto può derivare dall’applicazione dell’art. 28 del TU sulla sicurezza sul lavoro laddove secondo alcuni interpreti la valutazione dei rischi da parte del datore di lavoro dovrà riguardare qualunque luogo in cui venga svolta l’attività lavorativa anche all’esterno dei locali aziendali.

Diverse e più specifiche sono le norme di sicurezza dettate più appropriatamente per l’ambiente di lavoro in azienda e più in particolare per i videoterminalisti dal d. lgs 81/08 e che possono essere applicate anche al luogo di lavoro indoor prescelto dal lavoratore: ci si riferisce in particolare alle norme tendenti alla protezione dell’apparato muscolo scheletrico e dell’apparato visivo, attinenti la illuminazione, al microclima ed all’uso del video terminale.

La tutela del patrimonio aziendale: i sistemi informatici

La cooperazione della risorsa umana da remoto e la sua ampia responsabilizzazione emerge in tutta la sua pregnanza altresì con riferimento al tema della sicurezza del patrimonio aziendale sia delle infrastrutture che dei processi che dei dati aziendali.

Questi ultimi costituiscono l’elemento essenziale della maggior parte delle aziende riferendosi così ai dati relativi al know how acquisito, ai sistemi brevettati, o ai dati dei fornitori o dei clienti. I sistemi informatici che contengono tale ricchezza divengono molto vulnerabili nelle ipotesi di accesso da remoto quando gli attacchi informatici possono essere più agevoli.

È pertanto necessario che gli strumenti hardware e software aziendali siano in grado di proteggere i data base aziendali anche da attacchi esterni utilizzando sistemi sempre più evoluti di protezione: si discute in ordine alla ridondanza dei supporti di archiviazione , intesa come moltiplicazione dei supporti hardware tali che la criptazione di uno di essi non determini lo smarrimento dei dati ivi contenuti. Sono proposti anche sistemi in Cloud con validi sistemi di criptazione sia per i gestori che per eventuali attacchi esterni.

Fondamentale a tali fini diviene il comportamento diligente della risorsa da remoto la quale però dovrà essere adeguatamente formata in tal senso ed aggiornata. L’art. 20 comma 2 del testo di legge in esame prevede opportunamente che “al lavoratore impiegato in forme di lavoro agile ai sensi del presente capo può essere riconosciuto nell’ambito dell’accordo … il diritto all’apprendimento permanente , in modalità formali , non formali o informali , ed alla periodica certificazione delle relative competenze”.

Si ritiene che la possibilità debba trasformarsi in un obbligo formativo per il lavoratore agile e soprattutto un investimento per l’azienda che ha tutto l’interesse, attraverso la conoscenza operativa della risorsa umana, a proteggere il proprio patrimonio aziendali. E così che il lavoratore agile che si connette con smartphone, tablet e computer dovrà prestare attenzione alle operazioni di login e di logout laddove le password utilizzate dovranno essere oggetto di costante modifica; dovrà altresì prestare attenzione ad evitare l’apertura di mail sospette che possano costituire strumenti di phishing e contenere malware che vadano a distruggere o a rubare i dati aziendali causando un vero e proprio data breach.

I device in uso al lavoratore agile – che sarebbe opportuno fossero forniti dal datore di lavoro – devono a loro volta essere dotati di strumenti operativi quali antivirus di ultima generazione idonei a sterilizzare eventuali malaware provenienti dalla rete anche attraverso la apertura di siti pericolosi.

Sotto altro profilo la strumentazione tecnologica in uso al dipendente in modalità agile (e non) determina obblighi di altra natura questa volta in capo al datore di lavoro in termini di controllo a di distanza e riservatezza.

Il controllo a distanza dei lavoratori in smart working, tutela della privacy

L’applicazione dello smart working durante l’emergenza sanitaria Covid-19, come abbiamo poc’anzi accennato, ha portato alla deroga dei due principi fondamentali previsti dalla normativa sul lavoro agile L. 81/2017 (artt. 18-23):

1) accordo individuale tra datore di lavoro e lavoratore;

2) misurazione del lavoro del dipendente in termini di obiettivi.

Sono previste due tipologie di controlli:

a) mediante apparati audiovisivi;

b) mediante strumenti di lavoro (telefono, computer, tablet, etc.) o mediante software/applicativi per la registrazione degli accessi o delle presenze installati su dispositivi di lavoro dati in dotazione al dipendente.

In questa seconda ipotesi però il datore di lavoro non ha necessità di ricorrere a un accordo sindacale o all’autorizzazione dell’ITL soltanto nel caso in cui tale dispositivo occorra al dipendente per svolgere le mansioni lavorative o un determinato incarico (art. 4 co. 2, L. 300/1970 così come modificata dalla riforma cd. Jobs Act).

Nonostante la novella introdotta dal Jobs Act possa mostrare un’apertura ai controlli a distanza, il Ministro del Lavoro, con comunicato stampa del 18 giugno 2015 ha evidenziato che tale norma “non liberalizza” i controlli datoriali ma si limita a fare chiarezza sul concetto di “strumenti di lavoro” e sui limiti di utilizzabilità dei dati raccolti attraverso tali strumenti, in linea con le linee guida del 2007 sull’utilizzo della posta elettronica e di internet.

Aggiunge la nota ministeriale che non possono essere considerati “strumenti di controllo a distanza” quelli che vengono affidati al lavoratore “per rendere la prestazione lavorativa” come pc, tablet e celullari. Infatti l’accordo o l’autorizzazione non occorrono fino a quando il dispositivo costituisca il mezzo attraverso che “serva” al lavoratore per adempiere la prestazione; il profilo muta nelle ipotesi in cui lo strumento costituisca oggetto di modifica attraverso la implementazione – ad esempio – di software di localizzazione o di filtraggio o altre applicazioni che finiscono con il controllare il lavoratore, attraverso dettagliati e costanti monitoraggi.

In ogni caso il datore di lavoro deve adeguatamente formare e informare il lavoratore agile circa le modalità d’uso delle apparecchiature fornite in dotazione, sulle eventuali modalità di controllo, che comunque non potranno mai contravvenire alla normativa sulla privacy.

Smart worker con device di sua proprietà

In caso di installazione da parte del datore di lavoro di software o utilizzo di eventuali applicativi di log in/log out è necessario che il lavoratore presti anzitutto il proprio consenso all’installazione degli stessi sul proprio device, in secondo luogo è necessario che il datore di lavoro fornisca allo stesso un’informativa adeguata circa il loro esatto funzionamento, i dati rilevati, la loro utilizzabilità o meno ai fini disciplinari, il tempo di conservazione dei dati e l’identificazione della persona predisposta alla raccolta dei dati così rilevati (DPO – Data Protection Officer già esistente o altro nominato in tale contesto emergenziale);

Smart worker con device di proprietà dell’azienda

In tal caso se il lavoratore conosceva già a priori il dispositivo utilizzato in smart working nonché il relativo funzionamento di eventuali software ivi installati e per i quali il datore di lavoro aveva già fornito un’adeguata normativa, non sarà necessario alcuna informativa integrativa.

Raccolta dei dati dei lavoratori in smart working

Nelle ipotesi in cui venga effettuata una raccolta dei dati in smart working quali una tracciabilità da remoto con degli applicativi diversi, occorrerà attivare un Data Protection Officer tenendo conto che:

– andrà rilasciata una informativa integrata su quella che è la raccolta dei nuovi dati;

– dovranno essere individuati le risorse autorizzate dall’azienda all’accesso dei dati relativi ai lavoratori posti in remoto;

– dovranno essere adottate le misure di sicurezza che adeguate a tutelare eventuali dati sensibili e sensibilissimi;

– nelle ipotesi di uso di strumenti più invasivi che consentono in ogni caso un controllo a distanza andrà predisposto il DPIA (Date Protection Impact Assessment) con tracciabilità di tutti i documenti per l’ipotesi di contenzioso.

Pertanto le informazioni raccolte mediante gli strumenti di lavoro saranno utilizzabili a patto che sia fornita al dipendente un’informativa adeguata e che le eventuali attività di controllo del lavoratore siano rispettose dei principi di necessità e proporzionalità e dei limiti posti da libertà, dignità e diritto alla privacy: non dovranno concretizzarsi in controlli continui e indiscriminati dell’attività, e in coerenza con il principio di accountability, dovranno garantire l’osservanza dei principi di privacy by design e privacy by default.

Divieto di controllo sull’account di posta elettronica e cronologia Internet

Il Garante della privacy, con provvedimento n. 53 del 1° febbraio 2018, ha ritenuto in contrasto con la normativa sulla tutela della privacy il trattamento dei dati effettuato dal datore di lavoro su un account di posta elettronica. Nel caso di specie la azienda datrice di lavoro non aveva informato i lavoratori che le email scambiate nel corso dell’attività lavorativa, mediante l’account aziendale, sarebbero state oggetto di conservazione all’interno di server aziendali per tutta la durata del rapporto di lavoro ed anche oltre la cessazione dello stesso.

Il Garante ha ritenuto non conforme ai principi di liceità, necessità e proporzionalità del trattamento la conservazione sistematica dei dati esterni e del contenuto delle comunicazioni elettroniche scambiate dai dipendenti tramite gli account aziendali; attraverso l’accesso ai contenuti delle email intercorse tra colleghi e collaboratori, la società aveva infatti ricostruito lo scambio di comunicazioni, anche di natura privata, destinate a rimanere all’interno della cerchia dei soggetti partecipanti alle conversazioni.

Nel citato provvedimento l’Autorità ha avuto modo di precisare che il controllo datoriale, effettuato mediante raccolta sistematica e memorizzazione per un periodo non predeterminato delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti, è in contrasto con la disciplina in materia dei controlli a distanza. Coerentemente ha raccomandato di adoperare sistemi che prevengano il rischio di utilizzo improprio dei dispositivi, ad esempio bloccando la navigazione in siti non correlativi all’attività lavorativa (e.g. Facebook, Instagram, etc).

Resta altresì condivisibile quanto affermato dalla Corte di Cassazione (sent. n. 4375/2010) secondo cui i programmi informatici che consentono il monitoraggio della posta elettronica e degli accessi internet sono necessariamente apparecchiature di controllo nel momento in cui, in ragione delle loro caratteristiche, consentono al datore di lavoro di controllare a distanza e in via continuativa durante la prestazione, l’attività lavorativa del dipendente e se la stessa sia svolta in termini di diligenza e di corretto adempimento.

Conclusioni

Alla luce dei cenni esemplificativi esposti si deduce la necessità della adozione di una policy aziendale contenente informazioni dettagliate riguardanti:

– modalità d’uso dei dispositivi;

– modalità di effettuazione dei controlli;

– specifici accorgimenti che garantiscano il rispetto della normativa sulla riservatezza;

– specifiche direttive circa la navigazione sul web e l’utilizzo delle email nonché sulla possibilità di essere soggetti a controllo.

WEBINAR
Sicurezza: IT e OT insieme per proteggere l'azienda dagli attacchi cyber
Sicurezza
Sicurezza dei dati

*Estratto da una monografia dal titolo “Smart working: lavoro Agile o disagevole?” a cura dei medesimi autori.

@RIPRODUZIONE RISERVATA
T
Alessandra Tursi
avvocato
S
Mario Soggia
avvocato
Argomenti trattati

Approfondimenti

C
covid-19
D
data protection
S
smart working

Articolo 1 di 5