Tutela della privacy, misure di sicurezza e controllo a distanza dei lavoratori: ecco cosa sapere per essere in regola con il GDPR.

Il Covid-19, come noto, ha costretto molte aziende – soprattutto le PMI – a dover gestire modalità di smart working (che forse fino a oggi non avevano mai considerato), trovandole del tutto impreparate. Quasi da un giorno all’altro, in seguito al Decreto del Governo che nei primi giorni di marzo ha esteso questa modalità di lavoro a tutta l’Italia, i titolari d’azienda e le pubbliche amministrazioni hanno chiesto ai dipendenti di lavorare da casa.

Lo smart working, se da un lato consente di usufruire di diversi incentivi fiscali e migliorare la produttività delle aziende, dall’altro espone anche a maggiori rischi informatici. Non siamo in grado di prevedere se e quando lo smart working verrà abbandonato dalla maggior parte delle imprese in favore della “vecchia” modalità di lavoro in presenza, ma, in attesa di scoprire cosa ci aspetta, è bene sapere come affrontare il futuro nel rispetto del Regolamento UE 2016/679 (GDPR).

Smart working: come farlo rispettando il GDPR

Per consentire questa modalità di lavoro agile, il datore di lavoro di norma consegna al dipendente degli strumenti di lavoro che questi utilizza al di fuori dei locali aziendali. Ciò comporta che due siano i profili rilevanti ai fini della privacy rispetto ai quali occorrerà prestare particolare attenzione, per fare in modo che l’organizzazione aziendale sia compliant al GDPR:

• il trattamento dei dati e la loro sicurezza; 
• il controllo a distanza del lavoratore.

In caso contrario, lo smart working potrà comportare seri rischi per l’impresa, tra cui l’apertura di contenziosi e l’applicazione di sanzioni facilmente evitabili facendo ricorso all’aiuto di professionisti dotati delle giuste competenze informatiche.

Estensione del principio di accountability

Il primo profilo rilevante, si diceva, riguarda il trattamento dei dati e la loro sicurezza. L’attivazione di progetti di smart working implica il coinvolgimento di tutta l’organizzazione aziendale, comportando una maggiore responsabilizzazione (accountability) sia dei datori di lavoro / titolari del trattamento che dei lavoratori / autorizzati al trattamento.

Questo significa, in primo luogo, che il titolare del trattamento dovrà adottare misure finalizzate ad assicurare l’applicazione del Regolamento europeo e delle normative ad esso correlate. Dovranno essere individuate le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative ed alla luce di alcuni criteri specifici indicati nel Regolamento.

Le misure a carico del titolare del trattamento

Tra le diverse attività che il titolare (o il responsabile del trattamento se individuato) potrebbe dover porre in essere se ne indicano alcune:

• integrare il registro dei trattamenti con nuovi elementi (trattamenti, banche dati, strumenti, esternalizzazioni, misure di sicurezza) che dovessero riguardare le attività in smart working;
• valutare, anche con riferimento alla normativa giuslavoristica, il potenziale invasivo di eventuali sistemi che consentano il monitoraggio dell’utilizzo degli strumenti e della rete aziendale, eventualmente sottoponendoli a valutazione d’impatto;
• verificare che le soluzioni informatiche eventualmente sviluppate internamente per consentire lo svolgimento del lavoro a distanza siano conformi ai principi di privacy by design/by default e garantiscano la sicurezza dei dati;
• integrare l’informativa ai lavoratori chiarendo quali potrebbero essere i trattamenti dei dati pertinenti al lavoratore che potrebbero essere trattati nell’ambito dell’attività di smart working;
• rivalutare l’ambito di autorizzazione al trattamento di dati dello smart worker applicando in maniera restrittiva il principio di need to know;
• apprestare una specifica formazione rivolta agli smart worker sulle istruzioni per la sicurezza dei dati;
• ampliare, se necessario, l’ambito di autorizzazione degli amministratori di sistema;
• coinvolgere nella definizione delle nuove policy il DPO (Data Protection Officer), se nominato;
• definire e divulgare un regolamento sullo smart working nel rispetto dei principi giuslavoristici;
• fornire agli smart worker i necessari mezzi per operare da remoto, consentendo e incentivando l’utilizzo di dispositivi a uso aziendale al fine di evitare rischi legati alla mancanza di misura di sicurezza dei dispositivi personali;
• gestire l’aspetto delle licenze software laddove invece lo smart worker operi attraverso i propri dispositivi personali;
• organizzare percorsi di formazione sulla condivisione “sicura” di documenti;
• definire le modalità di accesso ai dispositivi privati in caso di indagini sia interne siada parte delle forze dell’ordine;
• eventualmente sottoscrivere polizze assicurative specifiche.

Queste attività dovranno essere svolte secondo un action plan definito a seguito di una puntuale gap analysis.

Le misure a carico dello smart worker

Il lavoratore che lavora in smart working, per non esporre a rischi informatici i dati che è autorizzato a trattare, dovrà seguire le procedure specificamente previste dall’azienda per l’utilizzo degli strumenti in ufficio oltre ovviamente alla regolamentazione specifica predisposta dal titolare del trattamento per l’utilizzo in remoto degli strumenti aziendali. Questa regolamentazione, oltre agli obblighi generali di riservatezza e le misure di sicurezza della postazione, dovrà riguardare:

• il divieto di modifica delle impostazioni preconfigurate dal datore;
• il divieto di installazione software/applicativi non autorizzati;
• il divieto assoluto di condivisione del dispositivo e delle credenziali di accesso;
• i criteri di computazione e cambio delle credenziali;
• il divieto di navigazione in siti non attinenti al lavoro e comunque poco sicuri;
• il divieto di accedere ad eventuali webmail personali;
• divieto di utilizzare gli strumenti informatici aziendali per fini personali;
• il divieto di apertura di allegati sospetti;
• divieto di lasciare incustoditi strumenti informatici aziendali e documenti in luoghi e mezzi pubblici.

L’elenco, solo esemplificativo, dovrà anche contenere chiare indicazioni sul comportamento che lo smart worker deve tenere nel momento in cui riscontri delle criticità, ad esempio, in caso noti anomalie o blocchi dovuti a virus o malware. La norma ISO/IEC 27001 (Sistemi di gestione per la sicurezza delle informazioni) unitamente alle Linee Guida ISO 27002 forniscono importanti linee guida sulle misure da mettere in atto.

Il potere di controllo sul lavoratore

Lo smart working da un lato, quindi, comporta un aumento di rischio per il datore di lavoro che i dati, personali e non solo di cui egli risulti titolare, vengano trattati da remoto dal lavoratore senza l’osservanza di tutte le misure organizzative e/o tecniche messe in piedi dal datore per garantire la liceità e la correttezza del trattamento. Dall’altro, però, anche per il lavoratore aumenta il rischio di un’invasione del datore di lavoro nella propria vita personale. Venendo dunque alla seconda questione rilevante connessa allo smart working di cui si accennava all’inizio di questo articolo, occorre chiedersi quali siano i limiti al potere di controllo del datore di lavoro sui propri lavoratori in regime di smart working.

La nuova formulazione dell’art. 4 Statuto dei lavoratori prevede al comma terzo la possibilità di raccogliere le informazioni mediante gli strumenti utilizzati per la prestazione lavorativa e di poterne disporre per tutti i fini connessi al relativo rapporto, purché sia stata fornita adeguata informazione al lavoratore sulle modalità d’uso dei dispositivi stessi e sui possibili controlli, il tutto nel rispetto dei principi sanciti dalla normativa vigente in tema di privacy.
Perché il controllo sia legittimo quindi:

• le informazioni che riguardano il lavoratore devono essere state captate con strumenti, software o applicativi necessari allo svolgimento della prestazione lavorativa, ad esempio il PC aziendale, la posta elettronica, il collegamento a Internet l’antivirus e così via;
• le informazioni potranno essere utilizzate per i fini connessi al rapporto di lavoro, ad esempio per un procedimento disciplinare);
• al lavoratore deve essere data apposita informativa ai sensi dell’art. 13 GDPR che comprenda anche un’adeguata informazione circa le modalità di funzionamento di strumenti, software, applicativi o finalità attraverso cui vengono captate le informazioni.

È bene evidenziare che caso per caso si dovrà valutare, anche con l’aiuto di un professionista, se uno strumento, software o applicativo possa o meno essere considerato strumento di lavoro (alla stregua del PC) e quindi verificare che sia strettamente necessario alla prestazione lavorativa.
Il trattamento di dati personali deve quindi sempre ispirarsi ai principi di correttezza, pertinenza e non eccedenza dettati dalla normativa privacy.

Per saperne di più su come organizzare lo smart working nella tua azienda in modo conforme alle normative e per individuare il migliore action plan per metterti in regola con il GDPR, contattaci per una consulenza: il nostro team è composto da consulenti certificati con competenze multidisciplinari in ambito normativo, tecnologico e di organizzazione aziendale e saprà affiancarti nel percorso di adeguamento normativo.