Smart working: dal 1° settembre nuovi adempimenti privacy

Il Protocollo Nazionale sul lavoro agile che diventerà operativo a partire dal 1° settembre 2022, mentre terminerà la validità dello smart working in modalità semplificata a cui hanno fatto ricorso le organizzazioni per garantire la continuità operativa nel periodo emergenziale. In continuità con il passato, l'accento viene posto sull'autonomia delle parti nella regolazione della prestazione da remoto; invero il Protocollo richiama quale condizione legittimante alla prestazione da lavoro agile la conclusione di un accordo tra datore e prestatori di lavoro come sancito dagli artt. 19 e 21 Legge 81/2017.

L'accordo de quo risulta fondamentale anche per disciplinare le misure e gli accorgimenti privacy da adottare nella prestazione lavorativa da remoto. L'art. 1 del Protocollo integra il contenuto dell'accordo di cui agli artt. 19 e 21 Legge 81/2017 stabilendo che nello stesso dovranno essere regolati, tra gli altri, gli aspetti relativi all'esecuzione della prestazione lavorativa svolti al di fuori dei locali aziendali, gli strumenti di lavoro, le forme e le modalità di controllo nel rispetto delle prescrizioni di cui all'art. 4 Statuto dei Lavoratori.

La comunicazione al Ministero

Taluni dei dati contenuti nell'accordo ai sensi dal DM 22 agosto 2022 n. 149 dovranno essere trasmessi al Ministero del Lavoro attraverso una specifica procedura di comunicazione messa a disposizione sul sito istituzionale del Ministero. La comunicazione già contemplata dall'art. 23, c. 1, Legge 81/2017 dovrà contenere i dati del datore di lavoro e dei lavoratori, il periodo di svolgimento del lavoro agile e la data di sottoscrizione dell'accordo. Ai sensi del citato Decreto Ministeriale il datore di lavoro sarà tenuto a conservare copia dell'accordo individuale per un periodo di 5 anni che decorre dalla data di sottoscrizione dell'accordo stesso.

La trasformazione digitale delle aziende

La digitalizzazione dei processi e il ricorso a forme di lavoro agile implica il necessario impegno su più fronti: da un lato il Protocollo richiama il rispetto dei diritti dei lavoratori come il diritto alla disconnessione, i diritti sindacali e quelli relativi alla sicurezza del lavoro, dall'altro impone il rispetto delle prescrizioni privacy fornendo, altresì, istruzioni riguardanti la sicurezza informatica.

La trasformazione digitale del mondo del lavoro richiede un impegno aggiuntivo alle organizzazioni per tutelare la riservatezza dei lavoratori, ma per garantire, altresì, la tutela del patrimonio informativo che potrebbe essere pregiudicato dal ricorso a forme di lavoro agile non preventivamente regolate.

La protezione dei dati

Per quanto riguarda la data protection, il primo elemento preso in considerazione dal Protocollo è relativo alla natura dello strumento. In particolare, l'art. 5 lascia alla scelta delle parti la decisione di utilizzare uno strumento aziendale o personale, in quest'ultima ipotesi, tuttavia, richiama la necessità di integrare la sicurezza dello strumento personale del lavoratore e pone tale adempimento a carico del datore di lavoro.

Da un punto di vista di sicurezza informatica sarebbe opportuno far ricadere la scelta su uno strumento aziendale: il principio di accountability che permea l'intero GDPR richiede al Titolare del trattamento di rendicontare le operazioni di trattamento svolte sotto la sua autorità. L'impresa in virtù del citato principio è tenuta a svolgere un'analisi dei rischi e sulla base della stessa applicare le misure di cui all'art. 32 GDPR che devono essere adeguate a fronteggiare il rischio che potrebbe verificarsi.

È chiaro che qualora la scelta ricada su uno strumento personale del lavoratore potrebbe risultare più difficoltoso intervenire, tempestivamente e in qualsiasi momento, sull'aggiornamento e/o l'integrazione delle misure già attuate. A ciò, si unisce la consapevolezza che la sicurezza dei sistemi informatici potrebbe essere pregiudicata in caso di utilizzo ibrido dello strumento, quindi, non limitato alle sole esigenze lavorative.

Gestire i data breach da remoto

L'art. 5 richiama, altresì, la necessità di regolare la corretta gestione del data breach nella prestazione lavorativa da remoto. Si ricorda che per data breach si intende qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. In particolare, il data breach può essere classificato sulla base di tre ipotesi:

• violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi in modo non autorizzato o accidentale;
• violazione dell'integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
• violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzata ai dati personali.

Il verificarsi di un data breach pone in capo al Titolare del trattamento l'obbligo di notifica della violazione all'Autorità Garante per la protezione dei dati personali nel termine perentorio di 72 ore dal momento in cui si è venuti a conoscenza dell'evento.

Ne discende che dovrà essere cura del datore di lavoro implementare delle misure volte a garantire una tempestiva comunicazione, previa informazione e formazione dei lavoratori affinché gli stessi siano in grado di avere la contezza necessaria alla gestione dell'evento.

L'istruzione e la formazione assurgono a criterio fondamentale nella gestione delle modalità da lavoro agile, infatti, l'art. 12 del Protocollo richiama la necessità che i lavoratori siano istruiti sulle operazioni di trattamento svolte da remoto nel rispetto delle prescrizioni in materia di protezione dei dati personali. Quanto esposto richiama l'importanza di dotarsi di policy disciplinari specifiche (generalmente da allegare all'accordo) allo scopo di regolare con precisione le azioni permesse e vietate nell'ambito del lavoro in modalità agile.

La protezione dei dati personali dei lavoratori

Il datore di lavoro è poi tenuto all'attuazione di misure tecniche e organizzative per garantire la protezione dei dati personali dei lavoratori. Il Protocollo, inoltre, raccomanda lo svolgimento di una valutazione d'impatto ai sensi dell'art. 35 GDPR, ciò risulta fondamentale soprattutto in riferimento a quei trattamenti che potrebbero comportare un monitoraggio a distanza dell'attività lavorativa e che impattano in maniera significativa sulla sfera di riservatezza dei lavoratori.

In tale contesto, non si può prescindere dall'analisi della natura dello strumento anche in riferimento alle prescrizioni di cui all'art. 4 Statuto dei Lavoratori in marito al controllo a distanza dell'attività lavorativa in modalità agile e alla dovuta applicazione delle relative tutele.

Tra le misure tecniche da attuare il Protocollo richiama espressamente l'adozione di sistemi di autenticazione e VPN, la definizione di piani di backup e protezione malware. Il datore di lavoro, inoltre, deve favorisce iniziative di formazione e sensibilizzazione dei lavoratori sia sull'utilizzo, custodia e protezione degli strumenti impiegati per rendere la prestazione, sia sulle cautele comportamentali da adottare nello svolgimento della prestazione lavorativa in modalità agile, compresa la gestione dei data breach.

La formazione dei lavoratori

Il Protocollo, infine, richiama l'obbligo per l'imprenditore di implementare adeguati percorsi formativi.

Tramite la formazione il personale acquisisce consapevolezza nella gestione dei dati, ma anche nelle misure da attuare in determinate fasi dell'uso dei sistemi.

La formazione, inoltre, assurge a misura di inclusività per garantire la parità di trattamento a tutti i lavoratori. Il Protocollo raccomanda al datore di lavoro di prevedere corsi formativi ad hoc per consentire di acquisire le abilità necessarie a svolgere la prestazione lavorativa da remoto garantendo così la parità d'accesso alla modalità di lavoro agile da parte di tutti i lavoratori.