Privacy del lavoratore e smart working: regolamentazioni e criticità per dipendenti e datori di lavoro

Smart working e privacy: in questo articolo vediamo come è regolamentata la protezione dei dai personali relativamente all’attività di lavoro agile anche alla luce del GDPR.
In occasione dell’avvio della modalità lavorativa in Smart Working o “Lavoro Agile”, disciplinato dalla Legge n. 81/2017 – Capo II 1, adottata presso l’azienda a partire dal 12 marzo 2020, si ricorda che è doveroso prestare costante attenzione alla protezione dei dati personali. E’ necessario quindi adottare, in qualsiasi occasione, lavorativa e privata, un comportamento improntato alla difesa della privacy degli interessati che entrano in relazione con la Società.

Smart working e GDPR

A tal fine si richiamano i contenuti delle informazioni fornite ex artt. 13 e 14 Regolamento UE 2016/679 del 27 aprile 2016 e norme di armonizzazione per il trattamento dei dati personali e categorie di dati personali dei dipendenti. Si richiamano inoltre le Policy della Società in materia; con le obbligazioni ivi riportate a carico dei singoli dipendenti. In relazione al ruolo ricoperto nel sistema privacy aziendale e in ottemperanza al principio dell’accountability (responsabilizzazione) previsto dal sopraccitato Regolamento.

Privacy e Smart working: linee guida interne ed informativa

La predisposizione da parte del datore di lavoro di Linee Guida interne sulle strumentazioni informatiche fornite oltre ad un’adeguata informativa, costituiscono attività prodromiche all’instaurazione di un rapporto smart. Inoltre, poiché lo stesso accordo di smart working dovrà rivestire la forma scritta ai fini della regolarità amministrativa e della prova, contestualmente o unitamente al predetto accordo sarà opportuno fornire al lavoratore la prescritta informativa.

Smart working e Privacy: l’informativa al lavoratore

Essa dovrà essere concisa e trasparente e dovranno esservi indicate le modalità di utilizzo delle dotazioni aziendali, tra cui l’eventuale utilizzo delle stesse ai soli fini lavorativi, oppure la possibilità di farne uso anche per scopi personali.

Accesso e controlli da parte del datore di lavoro

Il lavoratore dovrà inoltre essere dettagliatamente informato circa le modalità e le finalità dell’accesso e dei controlli da parte del datore di lavoro, ad esempio per quanto riguarda le operazioni di back-up, per l’analisi di sistema o per fini di sicurezza, nonché l’indicazione dei soggetti autorizzati a trattare tali dati o per la tenuta dei file di log.

File di log: sentenza della Cassazione

Proprio sui file di log è intervenuta la S.C. sanzionando il datore di lavoro che, pur avendo informato i lavoratori, non abbia provveduto a siglare accordo sindacale o a richiedere autorizzazione alla DTL: «[il datore di lavoro] provvedeva – non solo alla, di per sé lecita, inibizione dell’accesso dei lavoratori a determinate categorie di siti Internet, ma anche – alla registrazione dei cd. file Log (identificativi di indirizzo Ip, cioè della postazione di lavoro, dell’utenza contattata, della data ed ora dell’accesso o del tentativo di accesso), senza che fossero state espletate le procedure previste dalla legge per lo svolgimento delle attività che comportino anche solo la possibilità di controllo a distanza dei lavoratori. Ed è irrilevante che i lavoratori fossero stati messi a conoscenza delle modalità di acquisizione dei dati di traffico, conservati per un periodo di tempo prolungato (da sei mesi a un anno)» (Cass. 19.9.16, n. 18302).

Privacy e smart working: durata della conservazione dei dati

Parimenti dovranno essere precisate le modalità e la durata della conservazione dei dati raccolti nonché l’utilizzabilità degli stessi a fini disciplinari.

In virtù di tale ultimo scopo, si rammenta la necessità di prevedere, anche mediante apposito Regolamento Aziendale, le condotte integranti addebiti disciplinarmente rilevanti ed individuare preventivamente le relative sanzioni.

Smart working e privacy: il diritto del datore di lavoro a controlli mirati

Il datore di lavoro ha quindi il diritto di effettuare controlli mirati, indirettamente o attraverso la propria struttura, al fine di verificare il corretto utilizzo degli strumenti di lavoro.

Come richiamato anche dalla più recente Giurisprudenza: «In punto di controllo da parte del datore di lavoro sull’utilizzo dello strumento presente sul luogo di lavoro e in uso al lavoratore per lo svolgimento della prestazione poi questa Corte, premesso che la materia esula dai cd. controlli a distanza disciplinati dalla L. n. 300 del 1970, art. 4, ha precisato che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 c.c.), tra cui i p.c. aziendali, purché rispetti la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali dettata dal d. lgs. n. 196 del 2003, i principi di correttezza, di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice» (Cass. civ. sez. lav., 10.11.17, n. 26682).

Smart working: la navigazione in Internet

Parimenti nel caso di navigazione in Internet in relazione all’art. 4 dello Statuto dei Lavoratori: «il divieto assoluto per il datore di lavoro di utilizzare “impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”, ma non è questa la contestazione rivolta all’ (…) non risultando che i controlli sulla navigazione in Internet e sull’utilizzo dei servizi di telefonia e posta elettronica siano stati specificamente predisposti per finalità di vigilanza a distanza dell’attività lavorativa dei dipendenti» (Cass. Sez. lav. 19.9.16 n. 18302).

Indubbiamente lavorare da remoto con le proprie postazioni informatiche o anche con le postazioni informatiche messe a disposizione dell’ente (ipotesi questa residuale) comporta seri problemi di sicurezza informatica in quanto spesso si lavora in rete e necessariamente aumenta il livello di attenzione da dedicare a questi aspetti (identiche considerazioni bisogna fare anche per tutte le piattaforme di didattica a distanza che si stanno utilizzando notevolmente in questo periodo).

Smart working e sicurezza delle reti

Sulla scorta, quindi, di quanto suggerito dal Cert-PA dell’Agenzia per l’Italia Digitale (AgID) diventano indispensabili alcune raccomandazioni, peraltro richiamate dalle linee guida in precedenza menzionate; raccomandazioni che consentono di mantenere adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dal datore di lavoro.

Raccomandazioni per la sicurezza delle reti

Le raccomandazioni sono le seguenti:

1. Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione.

2. Utilizza i sistemi operativi per i quali attualmente è garantito il supporto.

3. Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo.

4. Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc.) siano abilitati e costantemente aggiornati.

5. Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione.

6. Non installare software proveniente da fonti/repository non ufficiali.

7. Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro.

8. Non cliccare su link o allegati contenuti in email sospette.

9. Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette.

10. Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione).

11. Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

Raccomandazioni per il lavoratore

Da queste banali raccomandazioni appare evidente che, nonostante le semplificazioni previste per il particolare periodo di emergenza, il c.d. lavoro agile non è affatto banale come molti potrebbero pensare e presenta una serie di criticità dettate dall’uso dello strumento informatico che comunque devono essere prese in considerazione.

In effetti il dipendente in smart working è tenuto innanzitutto a:

– custodire con diligenza la documentazione, i dati e le informazioni dell’Amministrazione utilizzati in connessione con la prestazione lavorativa;

– al rispetto delle previsioni del Regolamento UE 679/2016 e del D.lgs. 196/2003 come modificato dal d.lgs. n. 101/2018 in materia di privacy e protezione dei dati personali.

In ottemperanza alle disposizioni comunitarie e nazionali nonché di contratto, il dipendente è tenuto alla più̀ assoluta riservatezza sui dati e sulle informazioni in suo possesso e/o disponibili sul sistema informativo e conseguentemente dovrà̀ adottare, in relazione alla particolare modalità̀ della sua prestazione, ogni provvedimento idoneo a garantire tale riservatezza.

Inoltre, nella qualità̀ di “autorizzato” del trattamento dei dati personali, anche presso il proprio luogo di prestazione fuori sede, dovrà̀ osservare tutte le istruzioni e misure tecniche ed organizzative previste.

Istruzioni e misure tecniche previste

In particolare, con riferimento alle modalità̀ smart work, dovrà:

– porre ogni cura per evitare che ai dati possano accedere persone non autorizzate presenti nel luogo di prestazione fuori sede;

– procedere a bloccare l’elaboratore in dotazione in caso di allontanamento dalla postazione di lavoro, anche per un intervallo molto limitato di tempo;

– qualora non si utilizzino dispositivi forniti dal titolare del trattamento si proceda ad installare almeno un buon sistema antivirus ed effettuare un’accurata scansione preventiva;

– evitare l’uso dei social network, o altre applicazioni social facilmente hackerabili;

– adoperare “misure di sicurezza” nell’utilizzo di pc o tablet come paraschermi (privacy-screen) che impediscano la visuale laterale del vicino, non tanto e solo per motivi di riservatezza, ma anche per la circolazione dei dati;

– evitare di rivelare al telefono informazioni di carattere personale;

– evitare il collegamento a reti non sicure o sulle quali non si abbiano adeguate garanzie;

– alla conclusione della prestazione lavorativa giornaliera conservare e tutelare i documenti eventualmente stampati provvedendo alla loro eventuale distruzione solo una volta rientrato presso la Sua abituale sede di lavoro;

– qualora, invece, al termine del lavoro risulti necessario trattenere presso il proprio domicilio materiale cartaceo contenente dati personali, lo stesso dovrà essere riposto in armadi, cassetti o altri contenitori muniti di serratura.

Sicurezza del trattamento: il GDPR e il principio di accountability

Non poteva, ovviamente, mancare nel Regolamento UE n. 2016/679 sulla protezione dei dati personali un chiaro riferimento alle misure di sicurezza che già vengono menzionate nell’art. 24 quando si chiarisce che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability).

Più nello specifico, l’art. 32 del Regolamento ne parla a proposito della sicurezza del trattamento.

Tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

Cosa prevedono le misure

Tali misure comprendono:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;

d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Privacy e smart working: come regolamentare la riservatezza

Il “Lavoro Agile” impone la massima attenzione sui temi della riservatezza e presuppone che il/la dipendente rimanga sempre concentrato sulle modalità di lavoro, al fine di svolgere la propria attività (in parte all’interno dei locali aziendali e in parte all’esterno senza una postazione fissa) in modo corretto ed idoneo per proteggere l’operatività e la reputazione della Società.

Le prescrizioni per lo smart worker

Ecco un modello esemplificativo di prescrizioni da impartire allo smart worker in occasione dell’avvio della modalità lavorativa in Smart Working o “Lavoro Agile.

Ambiente di lavoro

Il/la dipendente dovrà aver cura di svolgere la prestazione lavorativa in ambienti tali da consentire comunicazioni stabili, efficienti e non disturbate da rumori circostanti

Conversazioni

Le conversazioni tra il/la dipendente e gli altri interessati non devono essere oggetto di ascolto da parte di soggetti non autorizzati, i quali devono essere mantenuti ad una distanza che consenta di proteggere la confidenzialità; pertanto è obbligo del/della dipendente:

– Evitare di effettuare colloqui ad alta voce, di persona o per telefono, in presenza di soggetti non autorizzati a conoscere il contenuto della conversazione;

– Accertarsi che il coniuge o eventuali parenti e conoscenti non siano portati, anche involontariamente, a conoscenza di informazioni e processi attinenti l’attività lavorativa;

– Non utilizzare familiari o terzi per veicolare informazioni, anche se ritenute “banali”, afferenti l’attività lavorativa;

– Nel caso di conversazioni telefoniche instaurate a seguito di chiamate inoltrate o ricevute, accertare, con cura, che l’interlocutore sia effettivamente un collega/cliente/fornitore legittimato e autorizzato a conoscere le informazioni oggetto della comunicazione;

Documentazione attività lavorativa

La Società, in qualità di Titolare, stabilisce che, ai sensi dell’art. 24 comma 1 del Regolamento U.E. 2016/679, la documentazione inerente all’attività lavorativa dovrà risiedere esclusivamente sulle cartelle di rete, poiché tale modalità operativa è ritenuta adeguata a garantire che il trattamento è effettuato conformemente al Regolamento.

Trasporto documenti

Il/La dipendente deve prestare particolare attenzione quando si trasportano da un locale all’altro, da uno stabile all’altro, da un luogo ad un altro (mediante mezzi pubblici o privati o anche a piedi) documenti contenenti dati personali.

Conservazione dati personali

Per quanto riguarda la generica conservazione dei dati personali utilizzati dal/dalla dipendente in Smart Working, il Responsabile dell’unità organizzativa deve adottare soluzioni organizzative idonee a ridurre il più possibile i rischi di distruzione, perdita e accessi non consentiti ai dati anche in ambiente privato eletto dal/dalla dipendente; il lavoro in modalità Smart Working non dovrà essere effettuato al di fuori di ambienti privati protetti che garantiscano la necessaria riservatezza della prestazione.

Trasferimento di dati personali

Più in dettaglio, per quanto concerne l’utilizzo di documenti cartacei contenti dati personali e prelevati dagli archivi della Società, si sottolinea che il trasferimento di dati personali all’esterno deve essere giustificato da necessità strettamente correlate all’esercizio dell’attività lavorativa, agli obblighi di legge o alla difesa degli interessi della società; la circolazione dei dati personali cartacei, in situazione di mobilità deve essere ridotta al minimo indispensabile; i dati devono essere raccolti in porta documenti riportanti l’identificazione del/della dipendente utilizzatore, della Società e il suo recapito telefonico.

Utilizzo documenti cartacei

In particolare i documenti cartacei:

• devono essere utilizzati solo per il tempo necessario allo svolgimento dei compiti assegnati e poi ripartiti negli archivi aziendali dedicati alla loro conservazione;
• non devono essere lasciati incustoditi; pertanto, nel caso di assenza, anche momentanea, dal luogo in cui si svolge lo Smart Working è necessario chiudere a chiave i locali che ospitano i dati ovvero riporli dentro un armadio/cassetto chiuso a chiave; non devono restare, senza ragione, applicati su supporti (lavagne o simili) che possono essere visionati da persone non autorizzate;
• devono essere resi illeggibili prima di essere cestinati, qualora siano destinati a divenire rifiuti (ad es. strappando più volte la carta in modo che i contenuti diventino non decifrabili/non ricostruibili).

Trattamento dati ed ausilio strumenti elettronici

Per quanto riguarda il trattamento di dati personali mediante l’ausilio di strumenti elettronici, si richiamano le indicazioni fornite dalla Società all’atto dell’autorizzazione al trattamento dei dati e si ribadisce quanto già prescritto dalle Policy della Società in materia di Privacy e in particolare:

• la password di accesso deve essere conservata con diligenza in modo che resti riservata, evitando sotto la responsabilità del/della dipendente, che altri ne vengano a conoscenza;
• il computer ed altri eventuali strumenti in dotazione e/o utilizzati per l’espletamento delle prestazioni in modalità Smart Working (P.C., smartphone, ecc.), non devono essere lasciati incustoditi ed accessibili a persone non autorizzate; in caso di allontanamento anche temporaneo dalla postazione di lavoro il/la dipendente è tenuto a disconnettere la sessione di lavoro bloccando l’operatività del computer (“ctrl-alt-canc”) e/o l’accesso allo smartphone (password di blocco schermo);
• non devono essere utilizzati dispositivi di memorizzazione esterna (come sopra riportato la documentazione inerente all’attività lavorativa dovrà risiedere esclusivamente sulle cartelle di rete, poiché tale modalità operativa è ritenuta adeguata a garantire che il trattamento è effettuato conformemente al regolamento).

I trattamenti effettuati dal dipendente

I trattamenti effettuati dal/dalla dipendente devono rispettare il principio di necessità, pertinenza e non eccedenza rispetto alle finalità degli stessi, avere scopi espliciti, determinati e leciti, come da istruzioni fornite in punto all’atto dell’autorizzazione della Società al trattamento dati.

Nell’ambito delle proprie attività e in osservanza alle misure derivanti dal sistema procedurale, gestionale e tecnico instaurato dalla Società per garantire la sicurezza dei dati personali, il dipendente tratta dati:

– esatti e, se necessario, aggiornati;

– archiviati in una forma che consenta l’esercizio dei diritti da parte dell’interessato di cui al Capo III del Regolamento Europeo;

– conservati in modo tale da consentire l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti e successivamente trattati;

– ove necessario e compatibile, anonimizzati, pseudonimizzati o cifrati.

Trattamento dei dati soggetti a maggior tutela

Il dipendente dovrà, altresì, adottare le cautele previste per legge (diritto all’oscuramento e anonimato) nell’eventuale trattamento dei dati soggetti a maggior tutela ovvero dati particolarmente sensibili per i diritti e le libertà degli interessati.

Violazione dei dati personali

È fondamentale sottolineare che è severamente sanzionata dal Regolamento (UE) 2016/679 la violazione dei dati personali. Si tratta cioè della violazione di sicurezza che comporta accidentalmente o in modo illecito:
– la distruzione,
– la perdita,
– la modifica,
– la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Tale violazione può afferire a una “violazione della riservatezza”:
– in caso di divulgazione o accesso accidentale ai dati personali, alla “perdita della disponibilità” (comprese le ipotesi di sottrazione e/o furto),
– in caso di perdita o distruzione dei dati personali (accidentale o non autorizzata) e alla “violazione dell’integrità”,
– in caso di alterazione non autorizzata o accidentale dei dati personali.

La violazione, in rapporto alla sua gravità, può comportare per la Società la Notifica del Data Breach; cioè la comunicazione della violazione dei dati personali all’Autorità di Controllo (Garante per la protezione dei dati personali); nonché, qualora ne abbiano un danno, ai soggetti i cui dati sono stati violati.

Obbligo di segnalazione

A tal fine si ribadisce l’obbligo del/della dipendente di segnalare qualunque ipotesi di violazione dei dati personali. La segnalazione va fatta al Dirigente responsabile della struttura e al Responsabile della Protezione dei dati; tempestivamente e, comunque, nei termini previsti dalla normativa interna aziendale in materia. Anche al fine di consentire il rispetto dei ristretti termini di notifica all’Autorità di Controllo previsti dal Regolamento (UE) 2016/679, ove atto dovuto.

Autorizzazione e informazione del Titolare

Il/La dipendente sarà specificatamente autorizzato/a al trattamento, informato/a e formato/a dal Datore di Lavoro (Titolare) in merito alle peculiarità del trattamento dei dati personali della sua prestazione lavorativa ed ai conseguenti rischi e misure di sicurezza adottate e da adottarsi, in relazione al ruolo ricoperto nella Società. È obbligazione contrattuale del/della dipendente rispettare dette istruzioni.

Leggi le FAQ più frequenti sull’argomento

Altri contenuti sull’argomento

Smart working: la normativa per il settore pubblico e privato

Consulta i volumi di EPC Editore

Aggiornati con i corsi di formazione dell’Istituto INFORMA