Smart Working e protezione dei dati aziendali

  • Post author:

L’attuale emergenza pandemica ha portato le imprese, spinte dalla necessità di evitare lo stop totale al processo produttivo, a ricorrere necessariamente allo smart working, normativizzato con la legge n.81 del 2017.

 

Lo Smart Working, come suggerisce la nomenclatura stessa, è individuabile nel lavoro agile, ovverosia un lavoro che coincide con la persona del lavoratore, potendosi svolgere in via delocalizzata rispetto al consueto luogo di lavoro.

Secondo l’Osservatorio Smart Working del Politecnico di Milano questa modalità lavorativa è: “una nuova filosofia manageriale fondata sulla restituzione alle imprese di flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati”.

 

Il Governo, tramite lo strumento della decretazione d’urgenza, ha facilitato il ricorso a tale modalità di lavoro, permettendo alle aziende di accedervi senza stipulare l’accordo con i dipendenti previsto dalla legge n.81 del 2017.

 

In Italia, tuttavia, dove l’utilizzo di tale modalità di lavoro rappresenta per molte realtà un sentiero poco battuto, il ricorso massiccio allo Smart Working rischia di mettere in serio pericolo la protezione dei dati aziendali, soprattutto a causa dell’utilizzo promiscuo da parte dei lavoratori, tanto dei dispositivi aziendali quanto di quelli personali.

In questo senso, i dispositivi personali del lavoratore risultano spesso sforniti di quel livello di protezione che invece caratterizza i dispositivi aziendali.

 

Al fine di arginare tale problematica, è necessario attuare apposite misure tecniche di sicurezza che non travalichino tuttavia la sfera privata del lavoratore, con ingiustificate intromissioni, da parte del datore di lavoro, nell’ambito dei propri dati personali.

 

A tal proposito, l’art. 4 dello Statuto dei Lavoratori che disciplina il c.d. controllo a distanza  prevede che “gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa o che consentano la registrazione degli accessi e delle presenze” non siano soggetti all’obbligo della sussistenza di finalità predeterminate (esigenze organizzative e produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale) e del preventivo accordo sindacale (o, in sostituzione, dell’autorizzazione dell’Ispettorato del lavoro), requisiti richiesti, invece, per gli altri strumenti, quali impianti audiovisivi od altre apparecchiature. Ad ogni modo, le informazioni raccolte sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice della Privacy.

 

Vedasi in materia quanto elaborato in ambito europeo dal Working Party 29, ora definito European Data Protection Board, in relazione al trattamento dei dati personali nell’ambito dei rapporti di lavoro.

Lo stesso, prevede che, nel caso in cui si consenta l’utilizzo di dispositivi personali del dipendente (si parla in proposito di politiche BYOD, acronimo di Bring Your Own Device) è fondamentale adottare misure che consentano una separazione tra l’utilizzo lavorativo e quello privato, per evitare che il controllo sull’attività lavorativa arrivi a coinvolgere anche dati personali (e potenzialmente sensibili) del dipendente o di suoi familiari che abbiano accesso al dispositivo stesso. Nel caso di utilizzo di dispositivi aziendali, ove non risulti possibile impedire il monitoraggio della sfera privata del dipendente, è preferibile imporre il totale divieto di utilizzo del dispositivo per necessità diverse da quelle strettamente lavorative.

 

È il datore di lavoro dunque, responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell’attività lavorativa e della loro gestione e di conseguenza, grava sullo stesso l’onere di dotare i dipendenti degli strumenti adeguati per fare Smart Working.

 

La questione tuttavia, è particolarmente ingarbugliata se si considera che, non basta gestire in sicurezza i dispostivi, ma ogni strumento di accesso alla rete aziendale. La cosa si complica ulteriormente se si tiene conto del fatto che in ambito aziendale si utilizzano meccanismi di protezione come l’utilizzo di VPN e Firewall difficilmente replicabili dal dipendente all’interno della propria abitazione, soprattutto se si rammenta circa il basso livello di “alfabetizzazione informatica” dell’utente medio, con inevitabili ripercussioni sui rischi connessi alla tutela dei dati.

Si consideri infatti come, chi lavora da casa spesso ignora anche i più elementari standard di protezione cybernetica come la semplice installazione di un antivirus o l’effettuazione di un backup di dati.

 

Da questo punto di vista, il ricorso allo Smart Working, necessita sia di un sapiente uso del digitale quanto di una evoluzione dei modelli organizzativi aziendali di cui la Privacy è parte integrante.

 

In conclusione, il ricorso al lavoro agile, non potendo considerarsi come semplice iniziativa per i lavoratori, presta il fianco al rischio di accesso non autorizzato ai dati aziendali e personali. Tale rischio può essere combattuto solo dotando le aziende di appositi regolamenti volti a catechizzare i comportamenti opportuni nell’utilizzo dei dispositivi per svolgere l’attività lavorativa.

L’adozione di tali regole consentirà anche al datore di lavoro di irrogare provvedimenti disciplinari nei confronti dei dipendenti, che, in mancanza di tale regolamentazione, sarebbero invece illegittimi.