Locations
PREMESSA
Il lavoro agile c.d. smart working è una modalità di esecuzione della prestazione lavorativa già prevista dall’art. 18 della L. n. 81/2017 con la quale è stabilito che attraverso un accordo fra datore di lavoro e lavoratore subordinato è possibile rendere la prestazione, oggetto del contratto di lavoro subordinato, in luoghi e tempi diversi dai locali aziendali e dal classico orario di lavoro.
Nell'ambito delle misure adottate dal Governo per il contenimento e la gestione dell'emergenza epidemiologica da COVID-19 (Coronavirus), il Presidente del Consiglio dei ministri è dapprima intervenuto sulle modalità di accesso allo smart working, estendendo a tutti i datori di lavoro, e per tutta la durata dell’emergenza, la possibilità di ricorrervi in deroga anche a precedenti accordi, ovvero in assenza degli stessi, al fine di fronteggiare le esigenze operative dettate dall’emergenza Coronavirus. Successivamente il Governo ha più volte raccomandato il massimo utilizzo, da parte delle imprese, di modalità di lavoro agile per tutte le attività che possono essere svolte al proprio domicilio o in modalità a distanza.
L’avvento dell’emergenza COVID-19 ha perciò consentito ai datori di lavoro di autorizzare il lavoro agile in tempi molto rapidi, bypassando gli accordi individuali con il lavoratore; l’emergenza però non ha permesso agli stessi, almeno nella gran parte dei casi, di organizzarsi in modo sicuro.
È proprio nell’ambito della sicurezza che lo smart working pone rilevanti questioni sotto il profilo privacy anche con riferimento ai rischi che, alla luce del Regolamento (UE) 2016/679 (“GDPR”), l’azienda quale titolare del trattamento è chiamata a mitigare implementando idonee ed adeguate misure di sicurezza (cfr. l’art. 32, comma I, il quale prevede che il “titolare del trattamento e il responsabile del trattamento mett[a]no in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio ”).
Le misure di sicurezza devono essere ponderate dal titolare avendo riguardo, anzitutto, alla natura aziendale o meno dei dispositivi utilizzati dai dipendenti per l’esecuzione della prestazione lavorativa, evitando inoltre forme di controllo eccessive e garantendo la sicurezza dei dati trattati.
Nell'ambito delle misure adottate dal Governo per il contenimento e la gestione dell'emergenza epidemiologica da COVID-19 (Coronavirus), il Presidente del Consiglio dei ministri è dapprima intervenuto sulle modalità di accesso allo smart working, estendendo a tutti i datori di lavoro, e per tutta la durata dell’emergenza, la possibilità di ricorrervi in deroga anche a precedenti accordi, ovvero in assenza degli stessi, al fine di fronteggiare le esigenze operative dettate dall’emergenza Coronavirus. Successivamente il Governo ha più volte raccomandato il massimo utilizzo, da parte delle imprese, di modalità di lavoro agile per tutte le attività che possono essere svolte al proprio domicilio o in modalità a distanza.
L’avvento dell’emergenza COVID-19 ha perciò consentito ai datori di lavoro di autorizzare il lavoro agile in tempi molto rapidi, bypassando gli accordi individuali con il lavoratore; l’emergenza però non ha permesso agli stessi, almeno nella gran parte dei casi, di organizzarsi in modo sicuro.
È proprio nell’ambito della sicurezza che lo smart working pone rilevanti questioni sotto il profilo privacy anche con riferimento ai rischi che, alla luce del Regolamento (UE) 2016/679 (“GDPR”), l’azienda quale titolare del trattamento è chiamata a mitigare implementando idonee ed adeguate misure di sicurezza (cfr. l’art. 32, comma I, il quale prevede che il “titolare del trattamento e il responsabile del trattamento mett[a]no in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio ”).
Le misure di sicurezza devono essere ponderate dal titolare avendo riguardo, anzitutto, alla natura aziendale o meno dei dispositivi utilizzati dai dipendenti per l’esecuzione della prestazione lavorativa, evitando inoltre forme di controllo eccessive e garantendo la sicurezza dei dati trattati.
DISPOSITIVI AZIENDALI
Per consentire lo svolgimento della prestazione lavorativa in regime di smart working, la fornitura di dispositivi mobili aziendali (es. PC e tablet) rappresenta indubbiamente l’opzione preferibile, essendo la più idonea a ridurre i rischi di promiscuità di trattamenti tra vita privata e lavorativa, e garantendo altresì la segregazione non solo logica ma anche fisica dei dati.
Per l’utilizzo di tali dispositivi l’azienda deve applicare le misure di sicurezza già previste per gli strumenti in uso presso i propri locali ed in sintesi: (i) sotto il profilo informatico, installare sistemi antivirus, anti-malware, firewall, applicativi di gestione del computer da remoto, accessi sicuri alla rete ed ai server (ii) sotto il profilo organizzativo, predisporre informative e policy per l’utilizzo degli strumenti informatici in regime di smart working.
Per l’utilizzo di tali dispositivi l’azienda deve applicare le misure di sicurezza già previste per gli strumenti in uso presso i propri locali ed in sintesi: (i) sotto il profilo informatico, installare sistemi antivirus, anti-malware, firewall, applicativi di gestione del computer da remoto, accessi sicuri alla rete ed ai server (ii) sotto il profilo organizzativo, predisporre informative e policy per l’utilizzo degli strumenti informatici in regime di smart working.
DISPOSITIVI PERSONALI – BYOD
Altra opzione, a cui soprattutto oggi si fa ricorso, è chiedere ai dipendenti di utilizzare i propri dispositivi personali per l’esecuzione del rapporto di lavoro, il cd. Bring-Your-Own-Device (di seguito “BYOD”), tra i quali laptop, tablet, smartphone.
Nell’ambito delle pubbliche amministrazioni – non del tutto pronte in termini di risorse economiche e dotazioni informatiche per il lavoro da remoto – questa opzione è stata in passato già prevista all’art. 12, comma 3 bis del Codice dell’Amministrazione Digitale.
Di recente, alla luce dell’attuale emergenza sanitaria, l’utilizzo di dispositivi personali è stato avallato dall’art. 3 della Circolare n.1/2020 del Ministero Pubblica Amministrazione e dall’art. 3 della Direttiva n. 2/2020 del medesimo dicastero e dall’art. 87 del d.l n. 18/20.
Ammesso, quindi, il ricorso ai dispositivi personali, tanto nelle organizzazioni private quanto in quelle pubbliche, i BYOD aprono tuttavia a scenari di rischio che il titolare è chiamato a mitigare, limitando gli abusi del dipendente e garantendo la sicurezza dei dati trattati, attraverso forme di controllo idonee ad assicurare che la vita privata del lavoratore non sia violata (sul punto si veda l’Opinion 2/2017 del Gruppo di lavoro Articolo 29 (anche “WP29”) in tema di trattamento dei dati sul posto di lavoro.
Il principale rischio del ricorso ai dispostivi BYOD è proprio la promiscuità d’uso, poiché il dipendente utilizza per fini aziendali un dispositivo di sua stessa proprietà, nonostante gli obblighi di sicurezza siano in capo al datore di lavoro, il quale è chiamato a conformarsi alle prescrizioni del GDPR, rispondendo in caso di mancanze.
Nel solco così tracciato, l’utilizzo di BYOD impone all’azienda di implementare, tra le altre, misure di sicurezza organizzative ed informatiche che devono essere analizzate e documentate, anche in ottica di accountability.
E’ necessario, quindi, adottare una policy che disciplini l’uso dei BYOD (rilevante anche ai fini dello smart working), preveda regole ulteriori rispetto a quelle contenute nel regolamento per l’utilizzo degli strumenti informatici già in uso presso l’ente (come l’aggiornamento del sistema operativo alle ultime patch di sicurezza; l’utilizzo di un sistema operativo per il quale il produttore garantisca supporto tecnico ecc…), e regolamenti l’utilizzo del BYOD anche da parte di terzi (ossia misure che prevengano minacce in caso di accesso non autorizzato ai dati da parte di terzi, come ad esempio familiari, amici e visitatori frequentanti il luogo ove si svolge l’attività lavorativa.
Occorre, altresì, valutare l’aggiornamento della procedura di gestione dei data breach qualora la violazione avvenga in relazione ai dati contenuti nel dispositivo personale del dipendente.
Nell’ambito delle pubbliche amministrazioni – non del tutto pronte in termini di risorse economiche e dotazioni informatiche per il lavoro da remoto – questa opzione è stata in passato già prevista all’art. 12, comma 3 bis del Codice dell’Amministrazione Digitale.
Di recente, alla luce dell’attuale emergenza sanitaria, l’utilizzo di dispositivi personali è stato avallato dall’art. 3 della Circolare n.1/2020 del Ministero Pubblica Amministrazione e dall’art. 3 della Direttiva n. 2/2020 del medesimo dicastero e dall’art. 87 del d.l n. 18/20.
Ammesso, quindi, il ricorso ai dispositivi personali, tanto nelle organizzazioni private quanto in quelle pubbliche, i BYOD aprono tuttavia a scenari di rischio che il titolare è chiamato a mitigare, limitando gli abusi del dipendente e garantendo la sicurezza dei dati trattati, attraverso forme di controllo idonee ad assicurare che la vita privata del lavoratore non sia violata (sul punto si veda l’Opinion 2/2017 del Gruppo di lavoro Articolo 29 (anche “WP29”) in tema di trattamento dei dati sul posto di lavoro.
Il principale rischio del ricorso ai dispostivi BYOD è proprio la promiscuità d’uso, poiché il dipendente utilizza per fini aziendali un dispositivo di sua stessa proprietà, nonostante gli obblighi di sicurezza siano in capo al datore di lavoro, il quale è chiamato a conformarsi alle prescrizioni del GDPR, rispondendo in caso di mancanze.
Nel solco così tracciato, l’utilizzo di BYOD impone all’azienda di implementare, tra le altre, misure di sicurezza organizzative ed informatiche che devono essere analizzate e documentate, anche in ottica di accountability.
E’ necessario, quindi, adottare una policy che disciplini l’uso dei BYOD (rilevante anche ai fini dello smart working), preveda regole ulteriori rispetto a quelle contenute nel regolamento per l’utilizzo degli strumenti informatici già in uso presso l’ente (come l’aggiornamento del sistema operativo alle ultime patch di sicurezza; l’utilizzo di un sistema operativo per il quale il produttore garantisca supporto tecnico ecc…), e regolamenti l’utilizzo del BYOD anche da parte di terzi (ossia misure che prevengano minacce in caso di accesso non autorizzato ai dati da parte di terzi, come ad esempio familiari, amici e visitatori frequentanti il luogo ove si svolge l’attività lavorativa.
Occorre, altresì, valutare l’aggiornamento della procedura di gestione dei data breach qualora la violazione avvenga in relazione ai dati contenuti nel dispositivo personale del dipendente.
COSA FARE DUNQUE?
Nello scenario attuale, ma anche in vista di quello che verrà (c.d Fase 2), l’azienda deve anzitutto prendere forte coscienza del proprio ruolo di titolare del trattamento e valutare soluzioni in grado di “controllare” e quindi “regolamentare” i flussi di dati personali e i relativi trattamenti, a prescindere dalla proprietà e/o disponibilità materiale del device sul quale avvengono.
Riteniamo, quindi, che sia fondamentale mappare gli strumenti forniti – ovvero che si intendono fornire – al lavoratore per rendere la prestazione lavorativa in regime di smart working, valutare i relativi rischi (meglio ex ante o quanto prima nel caso in cui non si sia ancora provveduto) e adottare, di conseguenza, adeguate procedure che disciplinino le modalità di svolgimento dell’attività lavorativa in smart working, pur assicurando la sicurezza delle informazioni aziendali.
Riteniamo, quindi, che sia fondamentale mappare gli strumenti forniti – ovvero che si intendono fornire – al lavoratore per rendere la prestazione lavorativa in regime di smart working, valutare i relativi rischi (meglio ex ante o quanto prima nel caso in cui non si sia ancora provveduto) e adottare, di conseguenza, adeguate procedure che disciplinino le modalità di svolgimento dell’attività lavorativa in smart working, pur assicurando la sicurezza delle informazioni aziendali.
Avv. Francesca Gravili - Head of Privacy Dept.