Lo Smart Working e la tutela dei dati personali

Lo Smart Working e la tutela dei dati personali
a cura di Martina Giovanna Scaletta

L’adozione delle misure per il contenimento e la gestione dell’emergenza epidemiologica da Covid-19 da parte del Governo ha comportato, tra le numerose novità che caratterizzano ormai la vita dei cittadini, una diversa e generalizzata modalità di svolgimento della prestazione lavorativa.

In particolare, è stato raccomandato il massimo utilizzo da parte delle imprese della modalità di lavoro agile (cd. smart working), disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81.

In virtù dei DPCM adottati, lo smart working può essere applicato, quindi, da parte dei datori di lavoro a ogni rapporto di lavoro subordinato per la durata dello stato di emergenza di cui alla deliberazione del Consiglio dei Ministri del 31 gennaio 2020, anche in assenza degli accordi individuali previsti dalla legge n. 81/2017 sopra menzionata.

Peraltro, con il cd. Decreto Cura Italia è stato disposto che, fino alla cessazione dello stato di emergenza epidemiologica da COVID-2019, ovvero fino ad una data antecedente stabilita con decreto del Presidente del Consiglio dei Ministri, il lavoro agile è diventato la modalità ordinaria di svolgimento della prestazione lavorativa nelle pubbliche amministrazioni.

Parimenti, sino alla data del 30 aprile 2020, i lavoratori dipendenti disabili o che abbiano nel proprio nucleo familiare una persona con disabilità, hanno diritto di svolgere la prestazione di lavoro in modalità agile, a condizione essa sia compatibile con le caratteristiche della prestazione. Inoltre, ai lavoratori del settore privato con ridotta capacità lavorativa è riconosciuta la priorità nell’accoglimento delle istanze di svolgimento delle prestazioni lavorative in modalità agile.

L’attivazione generalizzata dello smart working durante la fase emergenziale solleva la problematica del rispetto della tutela dei dati personali nell’espletamento della prestazione lavorativa.

Da una parte, infatti, lo svolgimento della prestazione lavorativa al di fuori della sede di lavoro rende i dati aziendali trattati maggiormente vulnerabili; dall’altra, il datore di lavoro è tenuto al rispetto degli obblighi imposti dal Regolamento UE n. 679/2016 (c.d. GDPR), nonostante l’emergenza sanitaria in corso.

Occorre esaminare, pertanto, quali sono gli adempimenti in materia di tutela dei dati personali che il datore di lavoro è chiamato a porre in essere.

1. In primo luogo, il datore di lavoro in qualità di titolare del trattamento dei dati è tenuto a svolgere la cd. valutazione di impatto sulla protezione dei dati.

L’art. 35 GDPR, infatti, dispone che se un tipo di trattamento dei dati prevede l’uso di nuove tecnologie, che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

In particolare, la valutazione di impatto deve contenere:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati;

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

Chiaramente, per ciò che concerne la descrizione sistematica dei trattamenti e delle finalità dei medesimi, nonché la valutazione della necessità e proporzionalità dei trattamenti, laddove essi coincidano con quelli generalmente espletati nell’ambito dello svolgimento della prestazione lavorativa presso la sede fisica dell’impresa, è possibile rinviare a quanto già valutato e stabilito nell’ipotesi di svolgimento della prestazione lavorativa in modo ordinario.

Particolarmente rilevante, invece, appare l’attività di valutazione dei rischi per i diritti e le libertà degli interessati.

Tra i rischi generalmente riscontrabili nell’ambito dello svolgimento dell’attività lavorativa in smart working si segnalano:

• L’uso di devices personali;
• Le modalità di collegamento ad Internet e ai server aziendali;
• Il potenziale furto di informazioni e dati.

Circa le misure per affrontare i rischi suddetti, a titolo esemplificativo e non esaustivo, si segnalano:

• Fornire, ove possibile, ai dipendenti devices aziendali destinati all’uso esclusivo dello svolgimento della prestazione lavorativa (COPE, “Corporate-Owned, Personally Enabled”);
• Utilizzo di Antivirus;
• Protezione dei devices con apposite password custodite opportunamente;
• Utilizzo esclusivo, ove possibile, della connessione VPN fornita dall’impresa;
• Utilizzo del Cloud (Cloud Computing, ovverosia Nuvola Informatica);
• Utilizzo dell’ACL (Access Control List), al fine di limitare il rischio di accesso non autorizzato, diffusione, perdita e distruzione dei dati;

2. Espletata la valutazione di impatto di cui all’art. 35 del GDPR, il titolare del trattamento è tenuto ad adottare una specifica policy aziendale che disciplini lo svolgimento dell’attività lavorativa in smart working.

In particolare, il datore di lavoro deve indicare specifiche linee guida di comportamento per i lavoratori e, soprattutto, per quanto qui rileva, precise informazioni ed istruzioni che assicurino la sicurezza e la liceità del trattamento dei dati.

Tra gli aspetti da disciplinare nella policy aziendale si menzionano, oltre agli ordinari doveri di diligenza, regole di gestione della password; di utilizzo di Internet e della posta elettronica; di operatività dell’Antivirus; di conservazione di file e documenti; in tema di utilizzo e ricovero degli strumenti di lavoro.

È necessario, inoltre, che il datore di lavoro indichi le possibili conseguenze disciplinari in caso di violazione delle regole di comportamento e fornisca informazioni circa eventuali attività di monitoraggio della prestazione lavorativa.

3. Il titolare del trattamento dei dati, inoltre, è tenuto a redigere un’adeguata informativa sul trattamento dei dati personali ai sensi dell’art. 13 GDPR da fornire ai lavoratori circa il trattamento dei loro dati personali durante lo svolgimento della prestazione lavorativa in modalità smart working, con particolare riferimento agli strumenti con i quali il datore di lavoro può controllare e monitorare l’attività dei lavoratori.

A tal proposito si segnala che le eventuali attività di controllo espletate dal datore di lavoro nei confronti dei dipendenti devono essere improntate al rispetto dei principi di necessità e proporzionalità e nel rispetto dei limiti posti da libertà, dignità e diritto alla privacy del lavoratore.

4. Il datore di lavoro, nella qualità di titolare del trattamento dei dati, poi, è tenuto anche a predisporre una specifica procedura in caso di data breach, così come previsto dagli artt. 33 e 34 GDPR.

In particolare, la procedura in questione deve disciplinare le modalità con le quali, in caso di violazione della normativa sul trattamento dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente e comunica la violazione all’interessato.

È compito del datore di lavoro, infine, istruire tutti i soggetti coinvolti nel trattamento, comunicando a questi ultimi la policy aziendale, la procedura di data breach e l’informativa.

RIPRODUZIONE RISERVATA

Il presente documento non costituisce parere legale ed è aggiornato alla data del 16.4.2020 e, come tale, deve quindi intendersi soggetto a successive modifiche in base ai nuovi provvedimenti che verranno emanati nel prossimo futuro.