Quando il Gdpr entra nelle nostre case

Come districarsi nel complicato mondo del trattamento dei dati personali? Quali sono le misure che l’azienda e il lavoratore in Smart Working devono adottare? E come si bilancia la tutela dei dati con i diritti del lavoratore?

gdpr

di Federico Serratore* |

Il lavoro agile, più comunemente noto come Smart Working, è uno strumento che ha trovato negli ultimi anni una diffusione sempre più ampia nell’ambito delle realtà aziendali, offrendo la possibilità di conciliare la vita privata con quella professionale e ottenendo risultati straordinariamente positivi, tanto da rendere maggiormente produttivi i lavoratori cosiddetti “intelligenti” rispetto a quelli tradizionali.

In queste ultime settimane segnate dal Coronavirus, tra l’altro, si è fatto del lavoro svolto da casa l’unico strumento possibile, che ha messo in luce elementi positivi nonché criticità e perplessità.

Il quadro normativo sul lavoro agile

La regolamentazione afferente al lavoro agile e intelligente è stata introdotta in Italia con l’approvazione della Direttiva del Presidente del Consiglio dei Ministri n. 3/2017, in materia di lavoro agile nella Pubblica Amministrazione, e della Legge n. 8/2017 che introduce “misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”.

La Direttiva del Presidente del Consiglio dei Ministri n. 3/2017, in particolare, richiama a sua volta la Risoluzione del Parlamento europeo del 13 settembre 2016 (“Creating labour market conditions favourable for work-life balance”), nella quale il Parlamento stabilisce che la conciliazione tra vita professionale, privata e familiare debba essere garantita quale diritto fondamentale di tutti, nello spirito della Carta dei diritti fondamentali dell’Unione Europea, con misure che siano disponibili a ogni individuo.

Il lavoro agile, quale approccio all’organizzazione del lavoro basato su una combinazione di flessibilità, autonomia e collaborazione, consente al lavoratore di gestire il proprio orario di lavoro, stimolandone l’autonomia e la responsabilità e realizzando una maggiore conciliazione dei tempi di vita e di lavoro. La Legge n. 8/2017 recepisce i principi stabiliti dal Parlamento europeo consentendo al lavoratore di svolgere le proprie prestazioni lavorative in parte all’interno di locali aziendali e in parte all’esterno, in assenza di una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale stabiliti dalla legge e dalla contrattazione collettiva.

L’art. 18 definisce il lavoro agile quale “modalità di esecuzione del rapporto di lavoro subordinato, stabilita mediante accordo tra le parti, anche con forme di organizzazione  per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa”, mentre le restanti disposizioni del Capo II (artt. 18-24) della sopra citata normativa regolano lo svolgimento dello Smart Working, offrendo un quadro sufficientemente preciso in relazione a modalità e limiti del suo utilizzo.

Il trattamento dei dati personali

Dal punto di vista del trattamento dei dati personali, tuttavia, risulta ancora poco chiaro come sia necessario muoversi in tale ambito e quali debbano essere le precauzioni aziendali, nonché quelle del lavoratore, al fine di tutelare in modo adeguato la trasmissione dei dati e di non incorrere, tra le altre cose, in potenziali sanzioni. In qualità di strumento di modernizzazione, in chiave digitale ed etica, della prestazione lavorativa, lo Smart Working trova le proprie fondamenta nell’interconnessione digitale dei rapporti professionali e nella continua trasmissione e comunicazione di dati.

I dati comunicati, che sono suscettibili in ogni momento di subire violazioni, corrono un rischio ancora maggiore nell’ambito di sistemi di trasmissione digitali laddove non risultino opportunamente protetti. Si rende, pertanto, essenziale l’adozione di misure idonee a garantire la conformità al Regolamento Europeo per la Protezione dei Dati Personali.

Come, districarsi nel complicato mondo del trattamento dei dati personali? Quali sono le misure che sia l’azienda che il lavoratore beneficiario dello Smart Working dovrebbero porre in essere?

È plausibile innanzitutto presumere che il datore di lavoro fornisca al lavoratore gli strumenti informatici necessari allo svolgimento delle proprie mansioni professionali, quali Pc, tablet, smartphone ecc. In applicazione del principio di “accountability”, l’azienda sarà, pertanto, tenuta a fornire un’informativa ad hoc e le necessarie linee guida inerenti l’utilizzo delle dotazioni aziendali.

Dovranno, in particolare, essere definiti i procedimenti applicativi, le modalità operative, le procedure di assegnazione dei dispositivi e loro restituzione, le regole di condotta da adottare, nonché dovranno essere accuratamente descritti gli strumenti informatici assegnati e le loro caratteristiche tecniche, ivi comprese le dotazioni accessorie (hardware e software inclusi). In tale ambito, acquisteranno un ruolo di fondamentale importanza le direttive fornite dal datore di lavoro inerenti alla sicurezza informatica.

L’azienda dovrà, infatti, regolamentare con precisione le condotte che il lavoratore intelligente sarà tenuto a seguire: i) nella postazione di lavoro o qualora se ne allontani anche temporaneamente; ii) nell’impiego dei sistemi informatici; iii) nella protezione delle informazioni; iv) nella gestione delle password; v) nel controllo dell’accesso a internet (preferibilmente attraverso sistemi Otp, pen drive Usb, token di accesso anche mobile token) e alla posta elettronica.

Al lavoratore, inoltre, dovranno essere fornite tutte le informazioni necessarie per poter gestire adeguatamente eventuali situazioni di crisis assessment derivanti dal verificarsi di episodi di data breach ovvero di situazioni che, anche solo potenzialmente, sarebbero in grado di determinare una perdita o distruzione di dati (a causa di malware, virus ecc.).

Gli obblighi del datore di lavoro

In caso di implementazione del lavoro agile, pertanto, l’azienda sarà tenuta a:

  • dotarsi, preliminarmente, di sistemi di cyber security adeguati, oltreché di sistemi di protezione dei device aziendali (sistemi antivirus, sistemi di backup, sistemi di Mobile device management, sistemi di crittografia , unitamente a quanto già accennato relativamente all’accesso alla rete Internet);
  • preconfigurare una gestione dei dati personali conforme a quanto disposto dall’art. 25 del Gdpr (privacy by design e privacy by default);
  • garantire al lavoratore un accesso facile e immediato a ogni e opportuna informativa;
  • prevedere per i lavoratori la possibilità di partecipare a programmi di formazione specifici affinché gli stessi acquisiscano le opportune e necessarie skill afferenti alla gestione e controllo di eventi critici (Cism, Cissp, Cis, Ceh).

È necessario evidenziare, tuttavia, che le condotte e le linee guida imposte dal datore di lavoro al fine di garantire livelli di sicurezza dei dati sempre maggiori potrebbero far sorgere dubbi di conformità al Gdpr nell’ambito dell’operatività del lavoratore stesso.

L’implementazione, infatti, di eventuali sistemi di mobile token temporanei assegnati al lavoratore dall’azienda per procedere all’accesso a Internet o a sistemi operativi dei software di lavoro, come sopra menzionati, se da una parte permettono di garantire un elevato livello di protezione dei dati, dall’altro limitano in un certo qual modo alcune libertà fondamentali del lavoratore.

Il controllo a distanza

Come e in che modo questi accorgimenti tecnologici, posti a tutela dei dati personali di eventuali soggetti interessati, sono bilanciati  con i diritti  fondamentali e le tutele giuridiche che devono essere riconosciuti in capo al lavoratore?

L’utilizzo di sistemi di controllo degli accessi, il monitoraggio degli stessi e l’adozione di analoghe misure di sorveglianza, infatti, possono in alcuni casi entrare in conflitto con quanto disposto dall’art. 4 dello Statuto dei Lavoratori (Legge n. 300/1970), come modificato dal legislatore nel 2015 e rubricato “Impianti audiovisivi e altri strumenti di controllo”, e da leggere, ai fini della presente trattazione, in combinato disposto con l’art. 21 della Legge n. 8/2017 che disciplina le potenziali sanzioni disciplinari nei confronti dei lavoratori.

Ai sensi dell’art. 4, sopra citato:

“1. Gli impianti audiovisivi e gli altri strumenti dai qua- li derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato Nazionale del Lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato Nazionale del Lavoro. I provvedimenti di cui al terzo periodo sono definitivi.

  1. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.

Occorre un intervento chiarificatore

Dall’analisi del dato testuale è possibile trarre le seguenti conclusioni:

  • l’azienda potrà procedere a un eventuale controllo a distanza salvo che vi sia un previo accordo con le rappresentanze sindacali e sempre che ai lavoratori sia fornita adeguata informativa su tale aspetto;
  • suddetto accordo con le rappresentanze sindacali potrà essere superato solo in caso di autorizzazione preventiva della sede territoriale dell’ispettorato del lavoro;
  • in assenza dell’accordo di cui sopra, all’azienda sarà consentito tenere monitorate le registrazioni degli accessi e delle presenze, unitamente agli strumenti informatici adottati dal lavoratore, salvo che detto controllo non venga effettuato con sistematicità e costanza, e sempre che siano attentamente rispettate le finalità connesse intrinsecamente al rapporto di Resta inteso che il datore di lavoro dovrà, anche in tal caso, fornire adeguata e specifica informativa ai lavoratori.

Per quanto concerne, invece, i controlli audiovisivi eventualmente implementati dal datore di lavoro per monitorare la condotta del lavoratore al fine di tutelare i beni del patrimonio aziendale, ovvero per impedire la perpetrazione di comportamenti illeciti, rileva considerare l’intervento della Corte di Cassazione, Sezione Lavoro che, con la sentenza n. 10955/2015, ha stabilito che, in suddette circostanze, l’art. 4 dello Statuto dei Lavoratori non risulta applicabile. Nondimeno, anche nel caso preso in considerazione dalla Corte di Cassazione, è opportuno ricordare che i controlli debbano essere necessariamente proporzionati e non eccedenti alle finalità per le quali vengono applicati, affinché la video sorveglianza nascosta non diventi la prassi ordinaria nella realtà aziendale.

Alla luce di quanto sopra esposto e delle criticità evidenziate, pare assolutamente necessario un intervento chiarificatore del Garante in tale ambito, ancor più nel periodo post Covid-19, al fine di delineare linee guida ufficialmente accettate dai datori di lavoro e di evitare che gli stessi rischino di incorrere nelle sanzioni previste in caso di non conformità, sempre a tutela dei soggetti interessati e nel pieno rispetto dei principi sanciti dal Regolamento UE 679/2016.


* Redatto dall’avvocato Federico Serratore in collaborazione con l’avvocato Mauro Festa dello studio legale LegalFor.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.