L’emergenza sanitaria causata dalla rapida diffusione del Covid-19 impone alle imprese di dover modificare il proprio sistema produttivo, inducendo le stesse a fare sempre più spesso ricorso allo smart working o “lavoro agile” e ad aggiornare le procedure relative alla protezione dei dati personali. Tale modifica del piano operativo delle imprese si rende necessaria, imposta da un’economia che, in un sistema come quello attuale, sta subendo inevitabili profondi cambiamenti. Ecco cosa c’è da sapere.
Come funziona il ricorso allo smart working
Lo smart working è una modalità di esecuzione del rapporto di lavoro subordinato caratterizzata dall’assenza di vincoli spaziali o di orari e un’organizzazione per fasi, cicli e obiettivi, stabilita mediante accordo tra dipendente e datore di lavoro; una modalità che aiuta il lavoratore a conciliare i tempi di vita e lavoro e, al contempo, a favorire la crescita della sua produttività.
Questa è la definizione di smart working data dal legislatore, e contenuta nella Legge n. 81/2017, dove si pone l’accento sulla flessibilità organizzativa, sulla volontarietà delle parti che sottoscrivono l’accordo individuale e sull’utilizzo di strumentazioni che consentano di lavorare da remoto (come ad esempio: pc portatili, tablet e smartphone).
Nell’attuale contesto emergenziale, tra le misure adottate dal Governo per il contenimento e la gestione dell’emergenza epidemiologica da Covid-19 (coronavirus), con il Dpcm del 4 marzo 2020 all’art.1, lett. n., è stato stabilito che la modalità di lavoro agile, disciplinata dall’art. 18 al 23 della legge 22 maggio 2017, n. 81, può essere applicata, per la durata dello stato di emergenza, dai datori di lavoro a ogni rapporto di lavoro subordinato, nel rispetto dei principi dettati dalle menzionate disposizioni, anche in assenza degli accordi individuali ivi previsti.
Per agevolare l’accesso a tale possibilità, il ministero del Lavoro e delle Politiche sociali ha predisposto un’apposita procedura semplificata per il caricamento massivo delle comunicazioni di smart working tramite l’utilizzo di SPID (Sistema Pubblico di Identità Digitale), a eccezione di quei soggetti che siano già in possesso delle credenziali di accesso al portale dei servizi del Ministero che potranno, pertanto, utilizzare l’applicativo anche senza SPID.
Sicurezza dei dispositivi nello smart working
Le imprese che hanno fatto, e fanno, ricorso a tale modalità di lavoro, non possono ignorare come il lavoro agile presenti dei rischi per la sicurezza dei sistemi nel trattamento dei dati personali. Difatti, molto spesso le aziende, a seconda dell’attività svolta, trattano una mole assai rilevante di dati, alcuni dei quali molto delicati, si pensi, tra tutte, a quelle attività che prevedono il trattamento di dati relativi alla salute. Tali dati necessitano obbligatoriamente di un’adeguata protezione dai danni che potrebbero derivare da accessi abusivi, furti, perdite accidentali, diffusioni non autorizzate, tutte violazioni che andrebbero a configurare un data breach.
L’urgenza Covid-19 a causa della quale è avvenuta un’accelerazione senza precedenti verso lo smart working, non deve giustificare improvvisazione sul versante della cybersecurity e della privacy. I livelli di lavoro sono molteplici per verificare l’adeguatezza delle misure di sicurezza adottate, pertanto, sarà fondamentale che il management di ogni azienda porti avanti un lavoro sinergico tra i diversi soggetti coinvolti, tra i quali ad esempio il responsabile IT e il DPO (o responsabile per la protezione dati).
Per ricorrere allo smart working, pertanto, le imprese devono provvedere alla reingegnerizzazione dei propri processi produttivi, in altre parole devono riorganizzare le risorse tecnologiche da fornire al dipendente, sia quando mettono a disposizione le risorse in cloud, sia quando autorizzano il dipendente a poter utilizzare i propri dispositivi personali (come ad esempio: pc portatili, tablet e smartphone) secondo la logica del BYOD, bring your own device, che impone però l’adozione di determinate cautele e istruzioni in materia di sicurezza sia a carico dell’azienda che del lavoratore.
Tra le attività da svolgere occorrerà sicuramente definire nuove policies e istruzioni aziendali da fornire allo smart worker, nonché procedere, eventualmente, alla formazione – se non è stata predisposta – ai lavoratori agili.
Le aziende, al fine di riorganizzare tutte le risorse tecnologiche per permettere ai propri dipendenti di lavorare in smart working, dovranno evitare di far ricorso a soluzioni fai da te, e dovranno scegliere adeguatamente i fornitori che presentino le giuste garanzie. Si potrà ad esempio ricorrere alla tecnica della containerizzazione, vale a dire creare due ambienti diversi sullo stesso dispositivo, con dati aziendali e dati personali (email, chiamate, localizzazione GPS, ecc) rigorosamente separati, in modo tale da evitare qualsivoglia commistione tra gli stessi, e affinché l’ambiente concernente le informazioni aziendali possa essere controllato dalla stessa azienda.
Nell’adozione di misure di sicurezza a carico direttamente del lavoratore può essere utile adottare il vademecum per lavorare online in sicurezza pubblicato dall’AGID il 17 marzo 2020. Tale iniziativa, avviata da AGID a seguito degli ultimi provvedimenti governativi che incentivano l’adozione dello smart working nelle PA per favorire il contenimento del Covid-19, seppur riferita al settore pubblico, si ritiene possa essere certamente trasfusa, con gli opportuni accorgimenti, al settore privato.
Le 11 raccomandazioni indicate AGID per uno smart working sicuro:
– segui prioritariamente le policy e le raccomandazioni dettate dalla tua amministrazione;
– utilizza i sistemi operativi per i quali attualmente è garantito il supporto;
– effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo;
– assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati;
– assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua amministrazione;
– non installare software proveniente da fonti/repository non ufficiali;
– blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro;
– non cliccare su link o allegati contenuti in email sospette;
– utilizza l’accesso a connessioni Wi-Fi adeguatamente protette;
– collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza;
– effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.
Adempimenti privacy e smart working
Da un punto di vista privacy, anche in tale contesto l’impresa, essendo il data controller (titolare del trattamento), è tenuta a dimostrare di aver rispettato il principio di accountability (responsabilizzazione) previsto dall’art. 5, par. 2 e dall’art. 24 del GDPR, che impone al titolare del trattamento di mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento”. La norma di riferimento si traduce, dunque, in un approccio pratico alla disciplina della protezione dati, tramite una serie di prescrizioni tra le quali, l’obbligo di mettere in atto, anche in un contesto emergenziale come quello attuale, misure di sicurezza adeguate, basate sull’approccio generale risk-based, che permettano, anche allo smart worker, di esercitare e porre in essere attività di trattamento dati in maniera compliant (conforme) al GDPR.
Facendo ricorso allo smart working sarà, altresì, necessario aggiornare la valutazione dei rischi così come richiesta dall’art. 32, par 2, del Reg. UE 2016/679, e quindi valutare l’adeguato livello di sicurezza, tenendo conto, in special modo, dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Laddove il lavoro svolto dallo smart worker potrebbe presentare, invece, un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrà effettuare, prima di procedere al trattamento, una valutazione dell’impatto privacy così come richiesto dall’art. 35 Reg. UE 2016/679.
Tra le misure da adottare, come in precedenza anticipato, vi è la formazione dei lavoratori agili. Tale compito dovrà essere svolto di concerto dal data controller (Titolare del trattamento) col DPO, ed invero, sempre nel rispetto del principio di accountability, si dovrà istruire lo smart worker sul rischio, già richiamato, di data breach, ovverosia una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Anche e soprattutto in un contesto emergenziale come quello attuale, le aziende non devono, pertanto, smettere di tutelare la propria brand reputation e quindi evitare il rischio di data breach quando fanno ricorso allo smart working.
Conclusioni
Indubbiamente i vantaggi nello svolgere il lavoro presso la propria abitazione sono molteplici sia per il lavoratore che per l’azienda/impresa. Da alcuni studi effettuati da esperti del settore è emerso, infatti, che il lavoro da casa può ridurre notevolmente lo stress accumulato e far svolgere meglio, e in modo più efficiente, le mansioni affidate, traducendosi in un incremento della produttività.
In conclusione, volendo fare un parallelismo, seppur azzardato, tra l’emergenza attuale e l’accelerazione allo smart working, così come si sta facendo grande ricorso all’adozione di misure di igiene personale per contenere il contagio da coronavirus, allo stesso modo le imprese dovranno ricorrere all’adozione di misure di igiene informatica e di sicurezza delle informazioni per scongiurare un data breach.
