Dato che la pandemia da Covid-19 ha favorito la diffusione dello smart working, è bene evidenziare le implicazioni per la privacy, ad esempio per quanto riguarda il controllo a distanza da parte del datore di lavoro, la sicurezza dei dati trattati lontano dal posto lavorativo, la formazione dei dipendenti sulle modalità d’uso degli strumenti tecnologici.
Tra gli aspetti che deve considerare il datore di lavoro, in tema di privacy e smart working, c’è il principio di accountability, che prevede che il titolare del trattamento debba non solo adottare le adeguate misure per garantire la sicurezza dei dati, ma anche dare concreta dimostrazione dell’adozione delle stesse.
Anche per quanto riguarda il trattamento dei dati in modalità smart working, il datore deve avere un atteggiamento proattivo nel definire le metodologie, le misure di sicurezza e l’efficacia delle stesse, sulla base di quanto stabilito dal GDPR. Dovrà, dunque, aggiornare l’informativa con le istruzioni per lo smart worker in merito alla sicurezza dei dati, quindi considerando anche il contesto “agile” e non più soltanto quello in ambiente di lavoro.
Inoltre, dovrà aggiornare il registro dei trattamenti riguardanti le attività svolte da casa, effettuare l’analisi dei rischi e la valutazione d’impatto degli stessi (DPIA), verificare che gli strumenti utilizzati per il lavoro a distanza siano conformi ai principi di privacy. Dovrà tenere conto anche della conformità dei servizi esterni, quindi le piattaforme, al GDPR.
In Europa protocolli di privacy e sicurezza aziendale risultano abbastanza deboli: le mail di phising sono aumentate del 600% nel 2020, ma sono aumentati anche gli attacchi cyber al settore della pubblica amministrazione e del servizio sanitario. Si registra un ulteriore aumento di attacchi ransomware e malware. È con questo complesso e scenario che si trovano a dover fare i conti i titolari del trattamento dei dati personali, alla luce della responsabilizzazione imposta loro dal GDPR.
Lo smart working implica un processo di decentralizzazione dei dati, i quali escono dalle “porte” dell’azienda per essere proiettati su device collocati nelle abitazioni dei collaboratori. L’obiettivo principale è quello di scongiurare il data breach, che si sostanzia nell’indisponibilità, distruzione, perdita, modifica o perdita di riservatezza del dato personale. In tali circostanze, infatti, spesso non è più possibile recuperare i dati, che spesso, vengono anche sottratti. Tale rischio aumenta nel caso in cui il lavoratore subisca il furto del device che utilizza per lavoro.
È fondamentale dunque copiare questi dati tramite un backup. Inoltre è necessario proteggere i dati tramite la crittografia: anche se i dati cifrati venissero carpiti o sottratti, grazie alla crittografia sarebbero inutilizzabili in assenza della chiave per decriptarli.
Fondamentale è poi il controllo degli accessi nel caso in cui venissero poste in essere condotte illecite da parte di dipendenti o collaboratori. Però nel caso in cui tutti avessero le stesse password non si potrebbe risalire facilmente a chi ha svolto cosa, per questo è importante il log management, ovvero un registro di tutte le operazioni svolte, in modo da poter svolgere verifiche a ritroso.
Un’altra problematica che si deve tenere in considerazione riguarda il fatto che, lo smart working, dovendosi svolgere al di fuori dei locali dell’azienda, pone l’accento su di controllo da parte del datore sul lavoratore. Lo svolgimento di tale prestazione lavorativa rende inevitabile il controllo a distanza. I controlli possono interessare gli strumenti utilizzati per rendere la prestazione di lavoro, ad esempio tablet e smartphone. Il datore può ottenere informazioni attinenti l’attività lavorativa a patto che:
- sia garantita al lavoratore adeguata informazione sulle modalità d’uso degli strumenti stessi e l’effettuazione dei controlli;
- sia rispettata la normativa in tema di privacy;
- lo strumento di lavoro non venga modificato per controllare il lavoratore (l’esempio tipico è l’installazione di software di localizzazione o filtraggio).
Il datore può dunque controllare le caselle di posta elettronica dei propri dipendenti nel rispetto dei limiti imposti dal Garante della privacy con il provvedimento del 1° marzo del 2007:
- informare preventivamente i lavoratori circa le modalità di utilizzo della posta elettronica e su eventuali controlli;
- adottare idonei accorgimenti per la conservazione ed il trattamento dei dati ricavati dai controlli;
- introdurre misure organizzative ad hoc, ad esempio un avviso automatico contenuto nelle email in cui ricordare al destinatario la natura non privata della comunicazione.
Le verifiche effettuate dall’azienda devono essere anonime e concludersi con un avviso generalizzato ai dipendenti che segnali un utilizzo anomalo della posta elettronica, oltre ad invitare la popolazione aziendale ad attenersi alle disposizioni ed istruzioni impartite.
Il datore di lavoro può inoltre effettuare controlli sull’utilizzo di internet da parte dei dipendenti attraverso la raccolta di dati con proxy server o altri strumenti, a patto che ciò riguardi la tutela di beni estranei al rapporto di lavoro (come il patrimonio aziendale) e non la verifica sull’adempimento della prestazione lavorativa. L’azienda è comunque tenuta ad informare i dipendenti sul corretto utilizzo della linea internet, sulle modalità di svolgimento dei controlli, sui comportamenti non concessi rispetto alla navigazione internet, sui limiti di utilizzo della linea internet per scopi personali (come l’uso circoscritto alle pause intermedie) e sulle conseguenze di tipo disciplinare per le condotte contrarie ai limiti prescritti.
Il datore di lavoro può in generale realizzare controlli a distanza attraverso impianti audiovisivi ed altri strumenti, esclusivamente:
- per esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale (si parla di “controlli difensivi”);
- informando preventivamente il lavoratore sulle modalità d’uso degli strumenti e lo svolgimento dei controlli;
- in osservanza della normativa in materia di privacy;
- a seguito di apposito accordo collettivo con i Sindacati.
In mancanza di accordo sindacale, gli impianti e gli strumenti di controllo possono essere installati previa autorizzazione dell’Ispettorato territoriale del lavoro (ITL).