Come conciliare privacy dei lavoratori e sicurezza dei sistemi informatici aziendali con lo smart working quale misura di contrasto alla diffusione del virus negli ambienti di lavoro

di Massimo Colaianni - Anche nell'attuale situazione emergenziale connessa al diffondersi dell'epidemia da Covid-19, imprese e professionisti non possono esimersi dal tutelare la riservatezza dei lavoratori e degli altri interessati dal trattamento dei dati personali.

La riservatezza dei lavoratori che operano in modalità smart working

[Torna su]

La questione si pone in modo ancora più preponderante se si considera che i provvedimenti adottati in materia di emergenza sanitaria da Covid-19 hanno dapprima raccomandato e poi imposto ad aziende e studi professionali l'attuazione di modalità di lavoro agile per tutte le attività che possono essere svolte presso il proprio domicilio o a distanza (art. 1 n. 7 lett. a) DPCM 11 marzo 2020, art. 1 c. 1 lett. c) DPCM 22 marzo 2020).

Il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, sottoscritto dalle parti sociali il 14 marzo 2020 prevede, d'altronde, che la prosecuzione delle attività possa avvenire solo in presenza di condizioni che assicurino ai lavoratori adeguati livelli di protezione, tra le quali, appunto, il lavoro a distanza.

Il controllo a distanza dei lavoratori

[Torna su]

Una delle problematiche che si pone quando si parla di smart working è quella relativa ai potenziali illeciti controlli a distanza cui sono esposti i lavoratori.

Lo Statuto dei Lavoratori (L. 300/1970), all'art. 4 c. 1 ammette l'impiego di strumenti che consentano il controllo a distanza dei lavoratori esclusivamente per soddisfare esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e che possono essere installati previo accordo sindacale ovvero autorizzazione dell'Ispettorato Territoriale del Lavoro. Al c. 2 è poi introdotta una deroga alla suddetta regola per gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa, nonché gli strumenti di registrazione degli accessi e delle presenze.

Ebbene il pc e gli altri devices aziendali impiegati per lavorare a distanza sono considerati strumenti essenziali per lo svolgimento della prestazione, dunque non sono soggetti alle limitazioni di cui al citato art. 4 c. 1.

Gli stessi, tuttavia, costituiscono potenziali meccanismi di controllo a distanza dei lavoratori: basti pensare a semplici attività quali "la conservazione e la categorizzazione dei dati personali dei dipendenti relativi alla navigazione in internet, all'utilizzo della posta elettronica ed alle utenze telefoniche da essi chiamate" (Corte di Cassazione, sentenza 28.05.2018 n. 13266).

Discorso diverso è il caso di installazione di specifici programmi di monitoraggio sul device aziendale in uso al lavoratore: non essendo questi strumenti utilizzati per rendere la prestazione, dovranno essere impiegati nei limiti di cui all'art. 4 c. 1 St. Lav. (per esigenze organizzative e produttive, sicurezza del lavoro, tutela del patrimonio aziendale), previo accordo sindacale o autorizzazione dell'ITL (vedi, tra l'altro, il provvedimento del Garante per la protezione dei dati personali n. 479/2017).

Si aggiunga, poi, l'ulteriore profilo problematico costituito dalla possibilità di accedere, a tutti gli effetti, nelle case di dipendenti e collaboratori, ad esempio quando questi ultimi si colleghino in videoconferenza dalle proprie abitazioni.

L'uso di mezzi di controllo per scopi connessi al rapporto lavorativo

[Torna su]

Le informazioni raccolte tramite gli strumenti di lavoro possono essere utilizzate per le finalità connesse al rapporto lavorativo - fra cui l'elevazione di contestazioni disciplinari - ma soltanto previa adeguata informazione al lavoratore circa il loro funzionamento e nel rispetto della normativa in materia di privacy (art. 4 c. 3 St. Lav.).

Devono, quindi, essere predisposte policies che disciplinino dettagliatamente l'utilizzo degli strumenti informatici aziendali indicando, tra l'altro, il divieto di impiego degli stessi per finalità extralavorative, nonché informando i lavoratori che i devices utilizzati possono, appunto, essere oggetto di controllo da parte del datore di lavoro per scopi connessi al rapporto lavorativo, ivi compresi a fini disciplinari.

La tutela dei dati personali trattati dagli smart workers

[Torna su]

Nell'ambito della normativa europea in materia di protezione dei dati personali il titolare del trattamento è destinatario dell'obbligo di adottare tutte le misure di sicurezza tecnico-organizzative necessarie per garantire la tutela dei dati personali, la liceità dei trattamenti di dati effettuati, la riservatezza degli interessati (art. 32 GDPR), misure che devono rivelarsi adeguate in ragione del concreto rischio per la sicurezza dei dati e degli interessati che connota quella specifica attività di trattamento.

Le misure di sicurezza riguardano tra l'altro i sistemi informatici impiegati dal titolare e dai soggetti dallo stesso autorizzati al trattamento, tra i quali i dipendenti ed i collaboratori.

Anche nell'ambito dell'attività svolta in modalità smart working "Il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell'attività lavorativa" (art. 18 c. 2 L. 81/2017 - Lavoro Agile).

Dovranno, quindi, essere adottare misure che garantiscano la sicurezza:

- dei sistemi utilizzati da remoto e dei relativi accessi, mediante attribuzione di specifiche credenziali (software, cloud, …);

- dei devices impiegati che potrebbero non essere quelli aziendali ma quelli personali dei dipendenti, magari utilizzati in modo promiscuo dai familiari del lavoratore con rischio di accesso a dati da parte di soggetti non autorizzati;

- dei software installati su tali devices personali, contro il rischio di utilizzo di programmi non lecitamente acquistati, ovvero di assenza di adeguate coperture antivirus;

- delle connessioni di rete impiegate (wi-fi, adsl).

Al riguardo, è raccomandabile:

- garantire l'utilizzo, laddove possibile, di devices aziendali anche da casa;

- qualora ciò non fosse possibile, garantire la sicurezza dei devices personali dei lavoratori, mediante l'installazione di idonei programmi antivirus; la creazione di apposite cartelle di lavoro protette da credenziali specifiche, ove archiviare digitalmente file e altri dati inerenti all'attività aziendale; l'obbligo di disconnettersi dai programmi aziendali (es. software gestionali) al termine della sessione lavorativa; l'obbligo di modificare con maggior frequenza le password di accesso ai sistemi informatici aziendali;

- informare gli incaricati del trattamento dell'obbligo di segnalare immediatamente al datore di lavoro - titolare eventuali fatti che potrebbero integrare una violazione dei dati personali, anche con riguardo a malfunzionamenti dei sistemi informatici in uso.


Avv. Massimo Colaianni

Studio Legale Colaianni

Piazza Indipendenza n. 2 - 20900 Monza (MB)

e-mail mcolaianni@studiolegalecolaianni.it


Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: