Blog

Il processo di diffusione del lavoro agile nel periodo della pandemia ha richiamato la necessità di una modifica organizzativa e procedurale delle modalità di lavoro, anche in riferimento alle operazioni di trattamento che derivano dal ricorso alla modalità di lavoro da remoto.

Lo smart working in modalità semplificata – e in vigore sino al termine dello stato d’emergenza – ha comportato diverse incertezze dal punto di vista della sicurezza informatica. A ciò si unisce l’impatto del Reg. UE 679/2016 (d’ora in avanti GDPR), che per ben 11 volte accosta il concetto di protezione dati a quello di security.

Il ministro del Lavoro e dello Sviluppo Economico, avvalendosi di un Gruppo di studio “Lavoro agile”, ha inevitabilmente esaminato l’impatto del lavoro agile anche dal punto di vista della protezione dati personali e della sicurezza delle informazioni, imponendo l’adozione di determinate misure.

In prima battuta, l’art. 5 del provvedimento in esame prende in considerazione la natura dello strumento utilizzato dal lavoratore per rendere la prestazione lavorativa. La norma lascia alla discrezionalità delle parti la scelta dello strumento e, quindi, la decisione di utilizzare uno strumento aziendale o di proprietà del lavoratore. Si intende da prediligere, tuttavia, la prima opzione.

Il richiamo diffuso alle norme della data protection e della “security by design” da parte del datore di lavoro impatta notevolmente sulle operazioni da compiere. Il principio di accountability, che permea l’intero GDPR, impone al Titolare del trattamento di avere piena contezza delle operazioni di trattamento svolte.

Solo attraverso una piena signoria da parte del Titolare sugli strumenti utilizzati dal lavoratore è possibile, infatti, esercitare e accrescere l’accountability richiesta dal GDPR. Invero, da un punto di vista della sicurezza informatica, gli strumenti aziendali devono preventivamente essere analizzati da parte del Titolare del trattamento affinché lo stesso sia in grado di attuare tutte le misure adeguate ad evitare il rischio informatico che può comportare un data breach di dati personali.

Per tale ragione gli artt. 12 e 13 del Protocollo insistono sull’adozione di misure tecniche e organizzative tese a rafforzare la sicurezza, come il ricorso alla crittografia, a politiche di back up e ripristino dati unitamente a politiche volte ad evitare la diffusione di malware, spesso causa di data breach.

In questo disegno risulta fondamentale la formazione dei lavoratori sulle modalità di utilizzo degli strumenti, sulle pratiche volte ad evitare il verificarsi del rischio informatico e sulle pratiche da attuare in caso di incidente.

Il datore di lavoro, altresì, è tenuto a svolgere un’ulteriore analisi circa la natura dello strumento in relazione all’art. 4 Stat. Lav. Si ricorda che le Autorità, nell’ambito dell’applicazione dell’art. 4, c. 2, Stat. Lav., hanno limitato le ipotesi di strumenti di lavoro alle sole situazioni “pure”, in cui lo strumento è effettivamente necessario a rendere la prestazione lavorativa.

Il datore di lavoro deve valutare la natura degli strumenti assegnati ai lavoratori e comprendere se i classici strumenti di lavoro quali hardware, pc o smartphone abbiano applicativi aggiuntivi tali da delineare anche la mera possibilità di controllo.

Il Protocollo richiama altresì l’importanza delle policy di cui l’art. 4, c. 3, Stat. Lav., il quale prevede che le informazioni raccolte ai sensi dell’art. 4 Stat. Lav. siano utilizzabili solo se sia data al lavoratore adeguata pubblicità sulle modalità d’uso degli strumenti e su quelle dei controlli.

Le policy in ambito informatico, inoltre, rappresentano strumenti tanto utili quanto indispensabili, soprattutto a causa dei continui mutamenti tecnologici che non sono disciplinati da una legislazione di settore: spetta al Titolare individuare i comportamenti – di volta in volta – idonei alle nuove esigenze dell’organizzazione.

Il Protocollo richiede al datore di lavoro l’attuazione di politiche nel rispetto del principio di “privacy by design e by default” e raccomanda il compimento di una valutazione di impatto ai sensi dell’art. 35 GDPR. Resta fermo l’obbligo di aggiornamento del registro dei trattamenti di cui all’art. 30 GDPR.

Articolo della Dott.ssa Chiara Ciccia Romito – Giuffrè Francis Lefebvre S.p.A.