Privacy, sicurezza sul lavoro e smart working ai tempi del Covid-19
E’ ormai noto a tutti che il Governo, con i provvedimenti di cui al d.l. 01.03.2020 e seguenti, ha incentivato il ricorso allo smart working per aziende e dipendenti, al fine di attuare efficacemente le misure restrittive legate all’emergenza sanitaria attualmente in essere.
La modalità di lavoro agile non è nuova al nostro ordinamento, in quanto tale definizione è stata per la prima volta introdotta dalla Legge n. 81 del 2017 contenente le “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”, prevedendo così una modalità di svolgimento della prestazione lavorativa che non ha precisi vincoli di orario – fermo restando i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva – o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici.
La prestazione di lavoro agile è caratterizzata da flessibilità organizzativa, dalla volontarietà delle parti che (nella versione ordinaria) sottoscrivono un accordo individuale, nonché dall’utilizzo degli strumenti tecnologici quali pc, laptop, tablet etc., i quali permettono al lavoratore di operare da remoto. L’esecuzione del rapporto di lavoro subordinato viene stabilita mediante l’accordo tra le parti, anche con forme di organizzazione per fasi, cicli ed obiettivi e, tra gli altri requisiti, si prevede che normalmente sia il datore di lavoro a mettere a disposizione gli strumenti di lavoro e a dover fornire una informativa corretta e completa all’utilizzatore.
La novità in deroga che al momento attuale desta più interesse è che il Governo ha adottato una versione “semplificata” dello smart working, estesa per l’intera durata dello stato di emergenza ad ogni tipo di lavoro subordinato su tutto il territorio nazionale, anche in assenza degli accordi individuali previsti dalla relativa normativa, al fine di evitare gli spostamenti e contenere i contagi.
Tuttavia, la sicurezza dei dati personali, sia in entrata che in uscita quotidiana, sia una volta conservati sul device utilizzato da parte del lavoratore per lo smart working, è di primaria importanza e garantirla è e resta anche al momento attuale un obbligo dell’azienda ai sensi dal Regolamento (UE) 2016/679 (“GDPR”) in qualità di titolare o responsabile del trattamento. È vero che dipendenti e collaboratori, in qualità di autorizzati al trattamento dovrebbero già avere precise istruzioni, impartite dal titolare, per la salvaguardia dei dati personali che trattano nello svolgimento della propria mansione, ma non sempre le direttive e le procedure di sicurezza sono adeguate allo smart working, soprattutto ove questo non sia mai stato adottato prima d’ora. L’attuazione dello smart working in maniera repentina e inaspettata per far fronte all’attuale emergenza, soprattutto in realtà piccole e poco strutturate, potrebbe comportare seri rischi per i dati personali. Pertanto, pur tenendo conto del contesto emergenziale e delle risorse a disposizione del datore di lavoro come previsto dall’art 32 del GDPR, l’azienda è chiamata ad adottare misure di sicurezza che siano adeguate per proteggere i dati personali del lavoratore e non solo (per fare un esempio banale, dati personali dei clienti che il lavoratore tratta da casa tramite pc). Ad esempio, è senz’altro da evitare che i dipendenti usino i loro dispositivi personali per accedere ai sistemi aziendali, ivi incluse le connessioni di rete, in quanto spesso tali devices non risultano adeguatamente protetti da programmi antivirus, così come le connessioni non sono gestite da password con idonei standards di sicurezza. Se possibile, sarebbe preferibile l’utilizzo di sistemi di connessione VPN e l’adozione di sistemi di autenticazione a due fattori (con l’uso di codici o token, in aggiunta alla normale password); ove tutto ciò non risulti possibile, appare prudente (anche se non sempre attuabile) impedire almeno temporaneamente trattamenti da remoto di dati ad elevato rischio per le libertà e diritti fondamentali per l’individuo, per prevenire possibili violazioni della cyber security.
Ecco perché restano fermi anche in questo particolare momento gli obblighi informativi quali la consegna ai dipendenti di apposita informativa privacy e sulla sicurezza del lavoro: a tale ultimo proposito, un utile strumento per una corretta informativa sulla salute e sicurezza nel lavoro agile è offerto gratuitamente collegandosi al sito di INAIL nella sezione dedicata all’Emergenza Coronavirus.
Di seguito, invece, un esempio di informativa sulla data protection da consegnare e far sottoscrivere a tutti i dipendenti da parte delle aziende interessate, che potranno essere modulati ed adeguati alle esigenze specifiche previo contatto con il nostro studio:modello regolamento privacy smart working
Altro aspetto che ingenera dubbi negli utenti è quello delle modalità di controllo a distanza da parte del datore di lavoro e alle connesse esigenze di tutela della privacy in capo ai dipendenti.In merito il Garante per il trattamento dei dati personali, nel provvedimento del n. 303 del 13 luglio 2016 – ha specificato che i sistemi software che consentono, con modalità non percepibili dall´utente (c.d. in background ) e in modo del tutto indipendente rispetto alla normale attività dell´utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” costanti ed indiscriminati degli accessi a internet o al servizio di posta elettronica, non possono essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.
In tale ultima nozione, infatti si possono ricomprendere solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza per cui, a titolo esemplificativo, possono essere considerati “strumenti di lavoro” ex art. 4, comma 2, Legge n. 300/1970 il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet. E’ stato altresì chiarito che costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono “il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore” (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta “envelope” del messaggio, per una breve durata non superiore comunque ai 7 giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l’erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).
Ciò che travalica i limiti qui indicati, deve dunque ritenersi strumento di controllo a distanza e pertanto il datore di lavoro potrà utilizzarlo solo se avrà preventivamente informato il lavoratore agile della possibilità di eseguire controlli sulla prestazione lavorativa di quest’ultimo. Si noti –per inciso- che la violazione dell’art. 4 dello Statuto dei Lavoratori è un reato di pericolo per cui non è necessario che di fatto il datore controlli il lavoratore, ma basta che ne abbia la possibilità: con la conseguenza che la norma riguarda tutti indistintamente, anche quei datori che non abbiano interesse a controllare effettivamente i dipendenti o collaboratori.
Concludendo, il datore di lavoro dovrà innanzitutto disciplinare nell’accordo di lavoro agile l’esercizio del potere di controllo sulla prestazione resa dal lavoratore all’esterno dei locali aziendali ed, anche in caso di smart working semplificato, al quale si sta ricorrendo nell’attuale momento storico, si consiglia di provvedere quanto prima possibile, unitamente alle dovute informative sopra elencate.
Avv. Francesca Boschi