NEWS

Smart working & privacy: indicazioni pratiche per la regolamentazione dei dati personali

Molte organizzazioni stanno affinando la regolamentazione sullo smart working; anche il recente D.lgs 104/2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea” specifica che tra le informazioni da fornire ai lavoratori vi è anche “il luogo di lavoro”.

Dal primo settembre infatti la modalità di lavoro in smart working è attivato per quei lavoratori:

- che appartengono ai settori/aziende che in passato hanno contrattualizzato tale forma;
- con cui l’organizzazione di appartenenza accia contratti individuali.

In questo articolo si analizzeranno, tramite esempi operativi, alcune misure che devono essere attuate per tutelare sia il lavoratore in smart working, sia i dati degli interessati, che il lavoratore può trattare nel ruolo di Autorizzato.

Il regolamento per lo smart working - Il regolamento per lo smart working deve rispettare la disciplina giuslavoristica e deve essere fornito al personale; è il documento cardine su cui si fondano le regole per l’erogazione della prestazione; può essere stand alone o parte del regolamento aziendale; è opportuno che presenti alcune caratteristiche, tra le quali:

- essere fornito ai collaboratori registrando la consegna;
- il datore di lavoro ovvero il Titolare, si può riservare di aggiornarlo, dando la maggiore visibilità possibile agli Autorizzati, e di organizzare, se del caso, attività di formazione vincolanti per gli stessi, anche in ottica proattiva;
- dovrebbe esplicitare a quali forme di contratto si applica (ad es. anche agli stagisti/tirocinanti, al personale in prova, ecc.);
- potrebbe contenere informazioni relative ai dati del collaboratore, informazioni che possono essere trattate a seguito della decisione di svolgere attività in smart working; questo tema sarà di seguito approfondito;
- potrebbe contenere le misure di mitigazione dei rischi che il dipendente in smart working è tenuto ad applicare; anche questo tema sarà approfondito in seguito.

Informazioni relative al dipendente in smart working, che possono essere trattate - Con l’introduzione dello smart working possono essere trattati dati personali dei dipendenti di norma non gestiti; alcuni esempi:

- nel caso in cui al collaboratore sia permesso di svolgere l’attività anche in luogo privato di sua pertinenza, oltre che presso il suo domicilio, egli dovrà dare nei tempi definiti una comunicazione circa la nuova allocazione. Dati trattati: altro indirizzo di pertinenza oltre al proprio domicilio;
- al collaboratore potrebbe essere richiesta la condivisione, anche con la supervisione di un team leader con il ruolo di facilitatore, con i colleghi del suo piano di lavoro, comprese le banche dati del tempo, per facilitare l’organizzazione di incontri in presenza o con metodologie miste. Dati trattati: piano di lavoro condiviso con i colleghi, dati di rendicontazione delle attività svolte in smart working, in particolare laddove l’organizzazione usi una gestione della contabilità per commessa.
- l’azienda potrebbe contribuire in tutto o a parte delle spese che il collaboratore sostiene per operare i smart working (es. connessione, energia). Dati trattati: bollette di pertinenza del collaboratore
- il collaboratore potrebbe essere tenuto, nel caso di impedimenti di qualsiasi natura (ad es. malfunzionamento degli impianti, mancata ricezione dei dati necessari) presso il sito da cui opera, a segnalare al suo referente, di norma “con la massima tempestività”, la situazione venutasi a determinare, al fine di permettere all’organizzazione di attivare misure alternative. Dati trattati: stato dei sistemi di pertinenza del collaboratore ed eventuali misure alternative messe in atto.

Misure che il dipendente in smart working deve applicare - Tali misure integrano quelle che sono loro fornite nel ruolo di autorizzato (art. 29 del GDPR); alcuni esempi che possono essere valutati, parte dei quali già presenti in varie forme su diverse pubblicazioni sul web:

- il luogo di lavoro dovrebbe presentare caratteristiche ambientali che garantiscono riservatezza e un ambiente protetto, silenzioso e dotato di adeguati sistemi che garantiscano la connettività;
- lo smart working dovrebbe essere vietato in luoghi come strutture ricettive, locali/spazi pubblici o aperti al pubblico; è fatto divieto di connettersi a reti pubbliche o private non proprie;
- azioni/istruzioni che dovrebbe applicare il lavoratore per:

+ un uso efficiente ed efficace delle piattaforme di videoconferenza e dei sistemi di messaggistica istantanea o altri sistemi social, quando permessi;
+ la gestione degli apparati forniti dall’azienda quando questi sono portati all’esterno delle sedi aziendali (ad es. divieto di lasciarlo in luoghi incustoditi, come il bagagliaio auto o l’obbligo di riporre in un luogo chiuso al termine delle sezioni di lavoro);
+ la manutenzione e configurazione dell’apparato aziendale in dotazione al dipendente, tali attività restano comunque in carico all’azienda; eventuali divieti nell’uso di strumenti personali per l’effettuazione della prestazione lavorativa BYOD;

- il lavoratore dovrebbe rispettare le indicazioni relative alla strumentazione, che potrebbe essere a carico dell’organizzazione, necessaria per la connessione alla extranet Aziendale – VPN; ovvero, nel caso di attività fuori sede non stabile e non continuativa, potrebbe essere richiesto al collaboratore di utilizzare strumentazione di proprietà personale (fissa, wi-fi, wireless), utilizzando una password che presenti caratteristiche di sicurezza (ad es. lunghezza almeno X caratteri, presenza di caratteri alfanumerici/speciali, contenuto non riconducibile alla persona); i costi sostenuti per usufruire della connettività da remoto saranno presi in carico da organizzazione/collaboratore/entrambi.

Possono anche essere fornite indicazioni in merito all’abbigliamento – dress code - richiesto al dipendente, così come indicazioni in merito allo sfondo che deve essere utilizzato quando lo stesso partecipa a sessioni in teleconferenza (es. sfondo istituzionale aziendale).

Per quanto riguarda riservatezza, la tutela del know-how aziendale e la protezione dei dati degli interessati, oltre a valere le medesime regole già definite nelle istruzioni fornite agli autorizzati o presenti nell’accordo di riservatezza, è necessario specificare che il collaboratore deve mettere in atto, in relazione alla particolare modalità della prestazione affidatagli, ogni misura per evitare interferenze con l’ambiente lavorativo, disconnettere gli apparati al termine della sessione di lavoro e archiviare in modo sicuro la documentazione cartacea.

È necessario fornire al collaboratore anche indicazioni sulla distruzione della stessa o la successiva archiviazione presso la sede aziendale.

Quelle riportate sono misure di protezione in carico agli autorizzati; ulteriori misure ben più articolate e specifiche devono essere definite ed implementate in carico all’area IT per la protezione dei sistemi e dei dati a cui si possa accedere da remoto.

Tra queste misure, a titolo di esempio: sistemi di gestione remota, sistemi di autenticazione a due fattori, terminali remoti, ecc. I collaboratori ovviamente avranno in carico, quando previsto, la loro applicazione e le istruzioni si limiteranno a fornire indicazioni rispetto a tale aspetto.

Inoltre, sempre in carico alla funzione IT è opportuno che siano definite le modalità e le frequenza con cui si verifica l’efficienza degli apparati affidati ai collaboratori, astenendosi ovviamente dall’effettuare controlli a distanza, al fine di permettere a quest’ultimo di operare in un contesto efficiente.

Supporto che l’organizzazione può dare al dipendente - In alcuni casi sono definite forme di facilitazione/compensazione alternative allo smart working per quei dipendenti che non possono far ricorso a tale modalità. A tal fine il documento potrebbe riportare le forme di compensazione per quei dipendenti che, non possono effettuare attività in smart working, come ad esempio godere di alcune giornate di ferie aggiuntive o partecipare, a spese dell’azienda, a corsi di formazione. Questa tematica non ha attinenza con la protezione dei dati ma piuttosto con il welfare aziendale.

Adempimenti Privacy - Essi devono essere considerati, anche alla luce dei nuovi possibili trattamenti relativi allo smart working; si tratta di misure di accountability:
- integrazione dell’informativa e del registro dei trattamenti con i dati trattati - paragrafo “Informazioni che possono essere trattate, relative al dipendente in smart working”;
- aggiornamento dell’analisi dei rischi ed identificazione delle misure poste in atto - paragrafo “Misure che il dipendente in smart working deve applicare”;
- introduzione, nelle procedure del ciclo di vita degli asset forniti ai collaboratori, delle misure che caratterizzano tali strumenti;
- attività di audit che contempli anche gli aspetti relativi allo smart working;
- nell’ipotesi in cui le attività in smart working comportino l’introduzione di sistemi automatizzati (decisionali o di monitoraggio), deve essere effettuata una valutazione d'impatto nel rispetto di quanto indicato dall’art. 1-bis del D.lgs 104/2022.

Conclusioni - Per quanto iniziano a consolidarsi delle forti resistenze ad un ricorso massiccio allo smart working - si veda anche il recente studio pubblicato su Nature Computational Science che sottolinea quanto tale modalità riduce la circolazione di nuove idee venendo a mancare i “legami deboli” che si instaurano tra colleghi, anche di diversi gruppi di lavoro, tramite il confronto faccia a faccia - tale forma di lavoro è ormai entrata a far parte della routine. Quindi, attraverso l’applicazione delle misure indicate, e di eventuali altre che con il progresso della tecnologia potrebbero rendersi disponibili, sarà possibile aumentare il livello di sicurezza con cui si trattano le informazioni ed anche mettere in atto sistemi che permettano di affrontare situazioni emergenziali, come ad esempio la riduzione di disponibilità di energia a costi accettabili.

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Spazio europeo dei dati sanitari: il parere dei garanti dell’UE sulla proposta di regolamento
Next Certificazione cibersicurezza: definito il quadro normativo nazionale, ma non basta

Cyber e Privacy Forum 2023, il trailer dell'evento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy