Smart working tra policy interne, risk management e tutela dei dati - Riskmanagement

Risk management

Smart working tra policy interne, risk management e tutela dei dati

Da un lato sono previste semplificazioni che agevolano il ricorso a questa modalità, dall’altro restano seri problemi relativi al risk management e alla protezione dei dati aziendali, anche nel post emergenza

10 Apr 2020

Federica De Stefani

avvocato specializzato in diritto delle nuove tecnologie

L’emergenza dettata dalla pandemia da Covid-19 ha imposto, per mezzo di vari provvedimenti governativi, l’adozione della modalità del lavoro agile per tutti i rapporti di lavoro subordinato. Se da un lato sono previste semplificazioni che agevolano il ricorso a questa modalità, dall’altro restano problemi di ampio spessore relativi al risk management e alla protezione dei dati aziendali, anche con riferimento al post emergenza.

Smart working, definizione e caratteristiche

Lo smart working, viene definito dall’art. 18 Legge 22 maggio 2017, n. 81 quale “modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa”.

Si tratta quindi di una particolare modalità con la quale viene resa la prestazione lavorativa che impone alcune riflessioni in tema di gestione dei rischi, soprattutto in relazione alla fase di emergenza da pandemia nella quale anche il Governo italiano ha imposto l’adozione del lavoro agile.

Al di là della terminologia utilizzata, non sempre specifica, il Governo, già dal primo provvedimento adottato per contrastare l’emergenza, il DL 6/2020, ha disposto la sospensione delle attività lavorative per le imprese, con espressa esclusione di quelle che erogano servizi essenziali e di pubblica utilità e “di quelle che possono essere svolte in modalità domiciliare (così testualmente l’art. 1 comma 2, lett. n).

Il successivo Dpcm 1 marzo ribadisce l’esclusione dalla sospensione di quelle attività “che possono essere svolte in modalità domiciliare ovvero in modalità a distanza” e solo con il Dpcm 4 marzo 2020 viene stabilito che “la modalità di lavoro agile disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81, può essere applicata, per la durata dello stato di emergenza di cui alla deliberazione del Consiglio dei ministri 31 gennaio 2020, dai datori di lavoro a ogni rapporto di lavoro subordinato, nel rispetto dei principi dettati dalle menzionate disposizioni, anche in assenza degli accordi individuali ivi previsti; gli obblighi di informativa di cui all’articolo 22 della legge 22 maggio 2017, n. 81, sono assolti in via telematica anche ricorrendo alla documentazione resa disponibile sul sito dell‘Istituto nazionale assicurazione infortuni sul lavoro”.

Con il successivo Dpcm 11 marzo 2020 si ribadisce e si raccomanda che “sia attuato il massimo utilizzo da parte delle imprese di modalità di lavoro agile per le attività che possono essere svolte al proprio domicilio o in modalità a distanza”.

In sostanza, quindi, a oggi e per tutto il periodo dell’emergenza (ossia 6 mesi a far data dal 31 gennaio 2020) il lavoro agile:

  • è la modalità di esecuzione della prestazione lavorativa da adottare in tutti i casi in cui sia compatibile con la tipologia di attività da svolgere;
  • può essere applicata a ogni rapporto di lavoro subordinato;
  • deve rispettare le disposizioni degli artt. 18-23 della L81/2017;
  • può essere adottato anche in assenza degli accordi tra datore di lavoro e lavoratore;
  • per quanto attiene agli obblighi di informativa sono assolti in via telematica.

Per quanto concerne la valutazione dei rischi inerenti all’esecuzione dell’attività di lavoro dal proprio domicilio o in ogni caso a distanza, è necessario fare alcune riflessioni in relazione alla individuazione e alla gestione di rischi e criticità.

Smart working e Covid-19, la gestione dei rischi

Se da un lato l’adozione della modalità di lavoro agile, con le varie “agevolazioni” riconosciute dal Governo ha consentito di proseguire l’attività di molte imprese, dall’altro ha posto i datori di lavoro di fronte a problematiche piuttosto importanti che non sempre sono state gestite con le dovute cautele in quanto l’emergenza, e la conseguente corsa contro il tempo per adeguarsi alle nuove modalità di lavoro, può aver spinto a non considerare tutti gli elementi necessari per proteggere al meglio la propria realtà lavorativa.

I provvedimenti adottati hanno spinto e alla fine imposto l’adozione del lavoro a distanza presso il proprio domicilio o in modalità agile, intervenendo sulla semplificazione della procedura di accesso.

L’obbligo di informativa previsto dall’art. 22 della L81/2017, come visto, può essere assolto anche facendo ricorso alla documentazione messa a disposizione sul sito dell’Inail e si può accedere alla modalità di smart working indipendentemente dall’accordo scritto nel quale vengono concordate le specifiche del rapporto lavorativo.

Resta in ogni caso il punto centrale relativo alla privacy e alla protezione dei dati.

WEBINAR
Sicurezza e Smart Working: elementi strategici per il business
Sicurezza
Cybersecurity

Il Governo, di certo, non poteva intervenire in questo settore, posto che le misure da individuare e adottare dipendono dalla specifica realtà di riferimento, ed è pertanto onere del datore di lavoro provvedere in maniera specifica e dettagliata su questi aspetti, tenendo comunque in considerazione anche il fatto che non tutti i dipendenti hanno dimestichezza con questa modalità di prestazione della propria attività lavorativa.

Da dove si deve quindi partire? Il dato normativo è senza dubbio l’elemento che deve essere considerato come punto dal quale prendere le mosse per costruire il sistema di misure per contrastare i rischi connessi alla gestione del lavoro agile.

La protezione dei dati come principio cardine

Gli aspetti che possono creare maggiori criticità riguardano gli strumenti informatici utilizzati per lo smart working e le modalità di esecuzione, attraverso questi ultimi, della propria attività lavorativa.

Andiamo con ordine.

L’art. 18 comma 2 della L. 81/2017 espressamente prevede che “il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell’attività lavorativa”.

Ci troviamo tuttavia in una situazione emergenziale nella quale il datore di lavoro non solo può non aver fornito direttamente al lavoratore gli strumenti informatici sui quali operare, ma addirittura non è in grado di valutare e controllare la funzionalità e la sicurezza di quelli in dotazione al lavoratore.

In particolare:

  • smart worker: chi già svolge attività di smart working, da questo punto di vista, non risulta essere una criticità per il datore di lavoro, posto che il rapporto è già stato regolamentato con riferimento sia agli strumenti, sia alle modalità e persino rispetto alla gestione del tempo lavorativo;
  • dipendenti: laddove il dipendente non abbia mai fatto ricorso alla modalità di lavoro agile risulta necessario, per il datore di lavoro, dare indicazioni specifiche al fine di contenere e gestire i possibili rischi, individuando, quindi, le varie criticità e fornendo soluzioni concrete per ciascuna di esse.

È evidente che laddove il datore di lavoro non abbia adeguatamente affrontato il problema della gestione dello smart working si troverà ora ad affrontare diversi aspetti che non sempre sono di facile soluzione.

Si pensi appunto alla dotazione degli strumenti informatici.

Accedere con un pc non protetto o condiviso con altri soggetti espone i dati aziendali a rischi di trattamenti illeciti, di dispersione e di perdita.

Stesso discorso vale, per esempio, per quanto concerne l’utilizzo della propria linea Internet privata, laddove non siano state adottate le misure adeguate di protezione, perché per esempio, non sono state cambiate le password di accesso fornite dal gestore.

Lo stesso discorso vale anche per quanto concerne l’utilizzo di sistemi di protezione come antivirus o l’esecuzione dei backup periodici ma conservati con modalità non idonee.

Non bisogna dimenticare che la normativa sulla protezione dei dati personali prevede l’obbligo di tutelare i dati trattati attraverso l’adozione di misure adeguate e il mancato rispetto di questi principi espone il titolare del trattamento a sanzioni che possono arrivare fino a 20 milioni di euro, solo per parlare delle sanzioni amministrative (art. 83 regolamento Europeo 2016/679).

Per far fronte a queste criticità il datore di lavoro deve attivarsi per dare ai propri dipendenti delle linee da seguire che siano finalizzate alla riduzione di questi pericoli e alla protezione dei dati aziendali.

Il datore di lavoro, pertanto, dovrà adoperarsi per fornire strumenti che siano in grado di agevolare l’attività lavorativa, come per esempio sistemi per l’accesso ai sistemi aziendali da remoto e rete VPN ma dovrà anche fornire un’adeguata “formazione” del dipendente in modo da contenere al massimo le possibili criticità.

Policy aziendali come strumento di tutela

Fondamentale importanza, in questa situazione di emergenza, rivestono le policy aziendali, ossia quelle diposizioni con le quali il datore di lavoro stabilisce regole interne per la gestione del rapporto di lavoro.

La regolamentazione diventa di massima importanza laddove i soggetti non siano abituati ad utilizzare lo smart working e, pertanto, non abbiano dimestichezza con procedure e misure di sicurezza che sono necessarie per la prestazione dell’attività lavorativa al di fuori dei locali aziendali.

In particolare:

  • strumenti utilizzati: il dipendente dovrà essere istruito sulle modalità tecniche da adottare per utilizzare gli strumenti informatici. Nell’ipotesi in cui le dotazioni informatiche siano di sua proprietà dovrà installare le misure di protezione necessarie indicate dall’azienda (per esempio antivirus o firewall) e, nell’ipotesi in cui lo strumento non sia aggiornato, dovrà seguire le indicazioni del datore di lavoro per ottenere la massima funzionalità;
  • accesso ai sistemi aziendali: il dipendente dovrà avere accesso ai sistemi aziendali e per fare ciò dovrà seguire le indicazioni fornite dall’azienda in modo da rispettare la procedura indicata. Per quanto concerne mail e backup si dovranno rispettare le indicazioni dell’azienda al fine di evitare malware e altri rischi di carattere informatico;
  • login e logout: le policy aziendali dovranno indicare le modalità per accedere ai sistemi aziendali e dovranno fornire le credenziali che il lavoratore dovrà utilizzare per l’accesso. Al termine delle operazioni il dipendente dovrà eseguire il logout in modo da evitare che chiunque possa fruire del device utilizzato possa accedere ai sistemi aziendali e, di conseguenza, possa vedere, trattare e utilizzare dati aziendali;
  • protezione delle password: il lavoratore dovrà seguire le misure indicate dal datore di lavoro per proteggere e conservare le password comunicategli, assicurandosi di non comunicarle e renderle accessibili a terzi;
  • regolamentare l’utilizzo di Internet: dal terminale utilizzato per lo smart working dovrebbero essere limitati sia l’utilizzo dei social network, sia della rete in generale, per scopi personali, in modo da limitare al massimo la possibilità di attacchi esterni;
  • utilizzo di sistemi di comunicazione che impediscano la trasmissione di dati aziendali: dovranno pertanto essere utilizzati, per la comunicazione tra dipendenti e tra dipendente e azienda solamente i sistemi indicati dal datore di lavoro, al fine di evitare che ci siano dispersioni di dati aziendali.
  • utilizzo esclusivo dei terminali: il terminale utilizzato per lo smart working dovrebbe essere in uso esclusivo al dipendente e non dovrebbe essere condiviso con altri soggetti, anche appartenenti allo stesso nucleo familiare. Se ciò non fosse possibile bisognerebbe garantire la protezione di tutti i dati aziendali, rendendoli inaccessibili a terzi;

Lo smart working nel post emergenza

L’esigenza di tutelare i dati aziendali si accompagna anche alla necessità, una volta finita l’emergenza, di regolamentare, a livello aziendale, le procedure per l’attivazione di ipotesi di smart working per così dire massivo al fine di far fronte ad emergenze come quella da Covid-19.

Se da un lato la situazione in cui ci siamo trovati a causa della pandemia ci ha colti del tutto impreparati, dall’altro ci porta a rivedere le politiche aziendali anche in ottica di prevenzione.

Per le aziende, da oggi, pensare e progettare un sistema di emergenza con la necessità di attivare sistemi generalizzati di lavoro a distanza diventerà quindi un fattore indispensabile per garantire la business continuity, nel pieno rispetto delle normative vigenti e della compliance aziendale.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza
Disaster recovery

@RIPRODUZIONE RISERVATA
D
Federica De Stefani
avvocato specializzato in diritto delle nuove tecnologie
Argomenti trattati

Approfondimenti

R
risk management

Articolo 1 di 5