Privacy

Smart working, gli adempimenti per le imprese in tema di privacy

Non si può ignorare come il lavoro agile presenti dei rischi per la sicurezza dei sistemi nel trattamento dei dati personali. Occorre predisporre un’adeguata protezione dai danni che potrebbero derivare da accessi abusivi, furti, perdite accidentali, diffusioni non autorizzate, che andrebbero a configurare un data breach

Pubblicato il 27 Apr 2020

Giuseppe Trio

presidente Centro studi informatica giuridica di Messina

smart working privacy

L’emergenza sanitaria causata dalla rapida diffusione del Covid-19 impone alle imprese di dover modificare il proprio sistema produttivo, inducendo le stesse a fare sempre più spesso ricorso allo smart working o “lavoro agile” e ad aggiornare le procedure relative alla protezione dei dati personali. Tale modifica del piano operativo delle imprese si rende necessaria, imposta da un’economia che, in un sistema come quello attuale, sta subendo inevitabili profondi cambiamenti. Ecco cosa c’è da sapere.

Come funziona il ricorso allo smart working

Lo smart working è una modalità di esecuzione del rapporto di lavoro subordinato caratterizzata dall’assenza di vincoli spaziali o di orari e un’organizzazione per fasi, cicli e obiettivi, stabilita mediante accordo tra dipendente e datore di lavoro; una modalità che aiuta il lavoratore a conciliare i tempi di vita e lavoro e, al contempo, a favorire la crescita della sua produttività.

Questa è la definizione di smart working data dal legislatore, e contenuta nella Legge n. 81/2017, dove si pone l’accento sulla flessibilità organizzativa, sulla volontarietà delle parti che sottoscrivono l’accordo individuale e sull’utilizzo di strumentazioni che consentano di lavorare da remoto (come ad esempio: pc portatili, tablet e smartphone).

Nell’attuale contesto emergenziale, tra le misure adottate dal Governo per il contenimento e la gestione dell’emergenza epidemiologica da Covid-19 (coronavirus), con il Dpcm del 4 marzo 2020 all’art.1, lett. n., è stato stabilito che la modalità di lavoro agile, disciplinata dall’art. 18 al 23 della legge 22 maggio 2017, n. 81, può essere applicata, per la durata dello stato di emergenza, dai datori di lavoro a ogni rapporto di lavoro subordinato, nel rispetto dei principi dettati dalle menzionate disposizioni, anche in assenza degli accordi individuali ivi previsti.

Per agevolare l’accesso a tale possibilità, il ministero del Lavoro e delle Politiche sociali ha predisposto un’apposita procedura semplificata per il caricamento massivo delle comunicazioni di smart working tramite l’utilizzo di SPID (Sistema Pubblico di Identità Digitale), a eccezione di quei soggetti che siano già in possesso delle credenziali di accesso al portale dei servizi del Ministero che potranno, pertanto, utilizzare l’applicativo anche senza SPID.

Sicurezza dei dispositivi nello smart working

Le imprese che hanno fatto, e fanno, ricorso a tale modalità di lavoro, non possono ignorare come il lavoro agile presenti dei rischi per la sicurezza dei sistemi nel trattamento dei dati personali. Difatti, molto spesso le aziende, a seconda dell’attività svolta, trattano una mole assai rilevante di dati, alcuni dei quali molto delicati, si pensi, tra tutte, a quelle attività che prevedono il trattamento di dati relativi alla salute. Tali dati necessitano obbligatoriamente di un’adeguata protezione dai danni che potrebbero derivare da accessi abusivi, furti, perdite accidentali, diffusioni non autorizzate, tutte violazioni che andrebbero a configurare un data breach.

L’urgenza Covid-19 a causa della quale è avvenuta un’accelerazione senza precedenti verso lo smart working, non deve giustificare improvvisazione sul versante della cybersecurity e della privacy. I livelli di lavoro sono molteplici per verificare l’adeguatezza delle misure di sicurezza adottate, pertanto, sarà fondamentale che il management di ogni azienda porti avanti un lavoro sinergico tra i diversi soggetti coinvolti, tra i quali ad esempio il responsabile IT e il DPO (o responsabile per la protezione dati).

Per ricorrere allo smart working, pertanto, le imprese devono provvedere alla reingegnerizzazione dei propri processi produttivi, in altre parole devono riorganizzare le risorse tecnologiche da fornire al dipendente, sia quando mettono a disposizione le risorse in cloud, sia quando autorizzano il dipendente a poter utilizzare i propri dispositivi personali (come ad esempio: pc portatili, tablet e smartphone) secondo la logica del BYOD, bring your own device, che impone però l’adozione di determinate cautele e istruzioni in materia di sicurezza sia a carico dell’azienda che del lavoratore.

Tra le attività da svolgere occorrerà sicuramente definire nuove policies e istruzioni aziendali da fornire allo smart worker, nonché procedere, eventualmente, alla formazione – se non è stata predisposta – ai lavoratori agili.

Le aziende, al fine di riorganizzare tutte le risorse tecnologiche per permettere ai propri dipendenti di lavorare in smart working, dovranno evitare di far ricorso a soluzioni fai da te, e dovranno scegliere adeguatamente i fornitori che presentino le giuste garanzie. Si potrà ad esempio ricorrere alla tecnica della containerizzazione, vale a dire creare due ambienti diversi sullo stesso dispositivo, con dati aziendali e dati personali (email, chiamate, localizzazione GPS, ecc) rigorosamente separati, in modo tale da evitare qualsivoglia commistione tra gli stessi, e affinché l’ambiente concernente le informazioni aziendali possa essere controllato dalla stessa azienda.

Nell’adozione di misure di sicurezza a carico direttamente del lavoratore può essere utile adottare il vademecum per lavorare online in sicurezza pubblicato dall’AGID il 17 marzo 2020. Tale iniziativa, avviata da AGID a seguito degli ultimi provvedimenti governativi che incentivano l’adozione dello smart working nelle PA per favorire il contenimento del Covid-19, seppur riferita al settore pubblico, si ritiene possa essere certamente trasfusa, con gli opportuni accorgimenti, al settore privato.

Le 11 raccomandazioni indicate AGID per uno smart working sicuro:

– segui prioritariamente le policy e le raccomandazioni dettate dalla tua amministrazione;

– utilizza i sistemi operativi per i quali attualmente è garantito il supporto;

– effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo;

– assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati;

– assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua amministrazione;

– non installare software proveniente da fonti/repository non ufficiali;

– blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro;

– non cliccare su link o allegati contenuti in email sospette;

– utilizza l’accesso a connessioni Wi-Fi adeguatamente protette;

– collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza;

– effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

Adempimenti privacy e smart working

Da un punto di vista privacy, anche in tale contesto l’impresa, essendo il data controller (titolare del trattamento), è tenuta a dimostrare di aver rispettato il principio di accountability (responsabilizzazione) previsto dall’art. 5, par. 2 e dall’art. 24 del GDPR, che impone al titolare del trattamento di mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento”. La norma di riferimento si traduce, dunque, in un approccio pratico alla disciplina della protezione dati, tramite una serie di prescrizioni tra le quali, l’obbligo di mettere in atto, anche in un contesto emergenziale come quello attuale, misure di sicurezza adeguate, basate sull’approccio generale risk-based, che permettano, anche allo smart worker, di esercitare e porre in essere attività di trattamento dati in maniera compliant (conforme) al GDPR.

Facendo ricorso allo smart working sarà, altresì, necessario aggiornare la valutazione dei rischi così come richiesta dall’art. 32, par 2, del Reg. UE 2016/679, e quindi valutare l’adeguato livello di sicurezza, tenendo conto, in special modo, dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Laddove il lavoro svolto dallo smart worker potrebbe presentare, invece, un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrà effettuare, prima di procedere al trattamento, una valutazione dell’impatto privacy così come richiesto dall’art. 35 Reg. UE 2016/679.

Tra le misure da adottare, come in precedenza anticipato, vi è la formazione dei lavoratori agili. Tale compito dovrà essere svolto di concerto dal data controller (Titolare del trattamento) col DPO, ed invero, sempre nel rispetto del principio di accountability, si dovrà istruire lo smart worker sul rischio, già richiamato, di data breach, ovverosia una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Anche e soprattutto in un contesto emergenziale come quello attuale, le aziende non devono, pertanto, smettere di tutelare la propria brand reputation e quindi evitare il rischio di data breach quando fanno ricorso allo smart working.

Conclusioni

Indubbiamente i vantaggi nello svolgere il lavoro presso la propria abitazione sono molteplici sia per il lavoratore che per l’azienda/impresa. Da alcuni studi effettuati da esperti del settore è emerso, infatti, che il lavoro da casa può ridurre notevolmente lo stress accumulato e far svolgere meglio, e in modo più efficiente, le mansioni affidate, traducendosi in un incremento della produttività.

In conclusione, volendo fare un parallelismo, seppur azzardato, tra l’emergenza attuale e l’accelerazione allo smart working, così come si sta facendo grande ricorso all’adozione di misure di igiene personale per contenere il contagio da coronavirus, allo stesso modo le imprese dovranno ricorrere all’adozione di misure di igiene informatica e di sicurezza delle informazioni per scongiurare un data breach.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

T
Giuseppe Trio
presidente Centro studi informatica giuridica di Messina

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 5