0
Smart Working e Privacy dei Dipendenti

Smart Working: controlli a distanza e protezione della privacy

Il lavoro agile (a distanza), noto anche come smart working, è una modalità di esecuzione del rapporto di lavoro subordinato caratterizzato dall’assenza di vincoli orari o spaziali e un’organizzazione per fasi, cicli e obiettivi, stabilita tra il datore di lavoro e il dipendente tramite un accordo.

La sua disciplina nasce in ambito comunitario con il recepimento dell’accordo-quadro del 16 luglio 2002 sul telelavoro e con la successiva approvazione della Risoluzione del 13 settembre 2016 con cui il Parlamento europeo invitava la Commissione e gli Stati membri a realizzare politiche finalizzate alla creazione delle condizioni favorevoli alla conciliazione fra vita professionale e vita privata. In tale contesto, il Considerando n. 48 definisce il lavoro agile come “un approccio all’organizzazione del lavoro basato su una combinazione di flessibilità, autonomia e collaborazione, che non richiede necessariamente al lavoratore di essere presente sul posto di lavoro o in un altro luogo predeterminato e gli consente di gestire il proprio orario di lavoro”.

Smart Working e Privacy: Normative e Obblighi in Italia

In Italia, lo smart working è stato regolamentato nella L. n. 81/2017 che ha recepito la Risoluzione parlamentare europea del 2016. E più recentemente, nel dicembre del 2021, le Parti sociali hanno raggiunto un’intesa volta a fornire indicazioni di massima per la contrattazione nazionale, territoriale ed aziendale attraverso il Protocollo Nazionale sul lavoro in modalità agile.

Il lavoro a distanza, nonostante i suoi molteplici vantaggi in termini di maggior efficienza, flessibilità, conciliazione dei tempi vita-lavoro, comporta tuttavia dei rischi specifici in ordine alla mancanza di misure organizzative che un datore di lavoro dovrebbe adottare, stante le rilevanti problematiche in materia di sicurezza dei dati personali derivanti dall’uso promiscuo degli stessi dispositivi personali dei dipendenti o dei collaboratori.

Rischi e Opportunità del Lavoro a Distanza

Nel rapporto tra la tutela offerta alla riservatezza del lavoratore da un lato e alle esigenze di controllo del datore di lavoro dall’altro, entra in gioco l’interesse legittimo al trattamento dei dati personali. Il datore che voglia accordare la modalità di lavoro agile ai propri dipendenti dovrà effettuare un’indagine sui rischi e vulnerabilità dei dati ad essi riferiti, adottando adeguate forme di tutela volte alla riduzione dei rischi di distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati.

I rischi legati al lavoro agile, unitamente a quelli in materia di protezione dei dati personali, hanno essenzialmente riguardo alla garanzia di sicurezza con riferimento:

a) ai locali adibiti dal lavoratore agile per il compimento dell’attività lavorativa;

b) all’utilizzo dei dispositivi personali del lavoratore, con particolare riferimento alla presenza, nei locali di residenza del lavoratore, di soggetti non autorizzati a prendere visione dei documenti;

c) alla connessione di rete utilizzata dal lavoratore;

d) all’utilizzo di software e programmi atti al controllo del datore di lavoro nel rispetto dell’art. 4 dello statuto dei lavoratori;

e) alla disciplina sul diritto alla disconnessione del lavoratore.

Ciò detto, è necessario che un lavoratore agile sappia organizzare all’interno della propria abitazione una postazione di lavoro dedicata, riducendo al minimo tutte le interferenze, al fine di poter svolgere le proprie mansioni in modo efficiente e al contempo rendere conto del lavoro svolto.

In primis, occorre ricordare che il luogo di lavoro costituisce un contesto sociale in cui garantire la tutela dei diritti, delle libertà fondamentali e della dignità del lavoratore, ove ognuno ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.

Strumenti e Tecnologie per i Controlli a Distanza

Nel lavoro a distanza, il trattamento dei dati può derivare dal monitoraggio fornito dall’utilizzo delle nuove tecnologie, quali strumenti posti al di fuori del posto di lavoro. Tra questi, spiccano quegli strumenti volti alla c.d. data loss prevention per il monitoraggio delle comunicazioni in uscita al fine di individuare le eventuali violazioni dei dati. Sono altresì utilizzati software invisibili installati nei dispositivi dei lavoratori, con i quali tenere traccia dell’utilizzo delle applicazioni e dei dispositivi.

Per giunta, in conformità con la politica del bring your own device, può attuarsi il monitoraggio dei dispositivi personali che i dipendenti mettono a disposizione per lo svolgimento della propria attività lavorativa; nonché attraverso il ricorso alla tecnologia mobile device management che consente al datore di localizzare i dispositivi a distanza, installare configurazioni e/o applicazioni specifiche ed eliminare i dati su richiesta; ovvero tramite l’uso di dispositivi indossabili (wereable device) nel rispetto degli artt. 5, 24, 25, 28 del GDPR.

Secondo il GPDP, è legittimo l’interesse del titolare del trattamento a rilevare la posizione dei propri mezzi per finalità meritevoli “come l’ottimizzazione delle richieste di intervento o delle emergenze, l’innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti, la corretta manutenzione dei veicoli, la tutela del patrimonio aziendale, il calcolo del tempo di lavoro effettivo oppure la gestione di eventuali incidenti stradali o di sanzioni subite per violazioni del codice della strada” (provvedimento del 16 marzo 2017 n. 138).

I controlli possono altresì declinarsi sull’utilizzo della posta elettronica aziendale.

Il datore di lavoro che voglia accedere alle mail aziendali del dipendente dovrà fornire un’informativa preventiva circa le caratteristiche, modalità e finalità essenziali dei trattamenti effettuati.

In caso di cessazione del rapporto di lavoro, sarà invece tenuto a disattivare l’account e adottare sistemi automatici volti a informare i terzi e a fornire a questi ultimi indirizzi alternativi che siano riferiti all’attività professionale del titolare del trattamento.

Gestire i Controlli nel Rispetto della Privacy

Con provvedimento del 4 dicembre 2019 n. 216 il Garante ha stabilito che commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica.

Il datore di lavoro, in qualità di titolare del trattamento dei dati personali, è tenuto a predisporre una procedura ad hoc in caso di data breach nel rispetto delle disposizioni contenute nella normativa privacy del GDPR agli artt. 33 e 34, dandone adeguata informativa ai lavoratori.

Ai sensi dell’art. 33, il titolare del trattamento dovrà notificare all’autorità di controllo competente l’avvenuta violazione entro i termini prestabiliti dalla stessa norma, ed ivi descrivendo la natura della violazione e le sue probabili conseguenze, nonché le misure adottate per porvi rimedio. Ove il data breach comporti dei rischi per gli interessati, l’art. 34 sancisce l’obbligo di avvisare le persone coinvolte, fornendo loro indicazioni sulle possibili conseguenze e sulle contromisure adottate/proposte come rimedio alla violazione.

È inoltre necessaria la predisposizione di un’adeguata informativa ai sensi degli artt. 12 e 13 GDPR da fornire al lavoratore circa le modalità del trattamento dei suoi dati personali raccolti attraverso strumenti e software utilizzati e dai quali può derivare la possibilità di controllo. Tali informazioni dovranno essere fornite dal titolare del trattamento in modo trasparente, intellegibile e facilmente accessibile (art. 12).

Qualora i dati personali siano raccolti presso l’interessato, l’art. 13 dispone l’obbligo di rendere informazioni specifiche, tra cui il periodo di conservazione dei dati, il diritto di accesso ai dati personali, il diritto di revocare il consenso e di proporre reclamo all’autorità di controllo.

La corretta gestione dello svolgimento dall’attività lavorativa nella sua declinazione degeolocalizzata necessita, dunque, di una policy specifica in ordine alle informazioni sull’utilizzo degli strumenti di lavoro, sulla corretta gestione e protezione delle password, dei file, documenti e dei dispositivi portatili, nonché della corretta operatività dell’antivirus, del servizio Internet e della posta elettronica, con un accesso al contenuto individualizzato.

Best Practice per il Lavoro Agile

Con ciò, sono individuabili le best practice che ogni datore di lavoro dovrebbe adottare. Ad esempio, mediante l’accesso ai software protetti da credenziali inviolabili e con accessi autorizzati e diversificati in base ai ruoli degli utenti, accompagnato da un sistema di tracciabilità degli accessi per la prevenzione del data breach.

In materia di controlli per la sicurezza delle informazioni, la normativa ISO/IEC 27002/2013 stabiliva che il datore di lavoro dovrebbe attuare “una politica e delle misure di sicurezza … per proteggere le informazioni accedute, elaborate o memorizzate presso siti di telelavoro”. Ad essa si è recentemente sostituita la normativa ISO/IEC 27002/2022 la quale ha presentato importanti aggiornamenti e nuovi controlli per affrontare le sfide attuali legate alla sicurezza delle informazioni, riflettendo l’importanza crescente della protezione dei dati e della sicurezza informatica per garantire un ambiente lavorativo sicuro.

Vieppiù, l’INL e il GPDP hanno adottato il Protocollo d’intesa in materia di lavoro agile del 22 aprile 2021, volto ad una reciproca collaborazione tra i due organi in ordine alle tematiche di rispettiva competenza, ed in particolare sull’utilizzo di strumenti tecnologici connessi allo svolgimento del rapporto di lavoro, individuando al contempo le soluzioni più idonee e coerenti con il quadro ordinamentale. Ciò anche attraverso campagne comuni di informazione e azioni in materia formativa per la condivisione e diffusione delle buone prassi e alla prevenzione del trattamento di dati personali non conforme alla disciplina dettata in materia, in particolare sui controlli a distanza dei lavoratori.

I controlli a distanza dei dipendenti devono avvenire nel rispetto delle disposizioni dell’art. 4 della L. n. 300/1970 (statuto dei lavoratori), per il quale gli impianti audiovisivi e gli altri strumenti da cui derivi la possibilità di controllo a distanza dell’attività lavorativa possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nonché installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.

Nell’accordo sindacale vengono, infatti, definite le modalità di raccolta, elaborazione e conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita.

Dalla violazione dell’art. 4 St. Lav. derivano differenti conseguenze. Sul piano processuale, scaturisce l’inutilizzabilità del dato acquisito dal datore di lavoro; sotto il profilo sindacale si rientra nella condotta antisindacale di cui all’art. 28 St. Lav.; diversamente si incorre in responsabilità civile nei confronti dei lavoratori interessati ed in responsabilità penale ai sensi dell’art. 38 St. Lav. e art. 171 D.lgs. n. 196/2003 sulle violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori.

In definitiva, in tale contesto lavorativo, ad avere maggior rilevanza è proprio la dignità del lavoratore rispetto ai controlli legittimi del datore di lavoro. Nel lavoro agile è fondamentale che il datore comportamenti improntati alla difesa della privacy degli interessati, conformemente al GDPR e alle normative vigenti, attraverso l’adozione di misure tecniche e organizzative adeguate.

1 Star2 Stars3 Stars4 Stars5 Stars (7 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.