Smart working & privacy: indicazioni pratiche per la regolamentazione dei dati personali

Molte organizzazioni stanno affinando la regolamentazione sullo smart working. Anche il recente D.lgs 104/2022 “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea” specifica che tra le informazioni da fornire ai lavoratori vi è anche “il luogo di lavoro”.

Dal 1° settembre infatti lo smart working è attivato per quei lavoratori:

• che appartengono ai settori/aziende che in passato hanno contrattualizzato tale forma;
• con cui l’organizzazione di appartenenza abbia contratti individuali.

Il regolamento per lo smart working – Il regolamento per lo smart working deve rispettare la disciplina giuslavoristica e deve essere fornito al personale; è il documento cardine su cui si fondano le regole per l’erogazione della prestazione; può essere un documento a sé stante o parte del regolamento aziendale; è opportuno che presenti alcune caratteristiche, tra le quali:

• essere fornito ai collaboratori registrando la consegna;
• il datore di lavoro si può riservare di aggiornarlo, dando la maggiore visibilità possibile agli Autorizzati e di organizzare, se del caso, attività di formazione per gli stessi;
• dovrebbe esplicitare a quali forme di contratto si applica
• potrebbe contenere informazioni relative ai dati del collaboratore che possono essere trattate a seguito della decisione di svolgere attività in smart working;
• potrebbe contenere le misure di mitigazione dei rischi che il dipendente in smart working è tenuto ad applicare.

Informazioni relative al dipendente in smart working, che possono essere trattate – Con l’introduzione dello smart working possono essere trattati dati personali dei dipendenti di norma non gestiti; alcuni esempi:

• nel caso in cui al collaboratore sia permesso di svolgere l’attività anche in luogo privato di sua pertinenza, egli dovrà dare nei tempi definiti una comunicazione circa la nuova allocazione. Dati trattati: altro indirizzo di pertinenza oltre al proprio domicilio.
• al collaboratore potrebbe essere richiesta la condivisione, con i colleghi del suo piano di lavoro, comprese le banche dati del tempo, per facilitare l’organizzazione di incontri in presenza o con metodologie miste. Dati trattati: piano di lavoro condiviso con i colleghi, dati di rendicontazione delle attività svolte in smart working.
• l’azienda potrebbe contribuire in tutto o a parte delle spese che il collaboratore sostiene per operare in smart working (es. connessione, energia). Dati trattati: bollette di pertinenza del collaboratore.
• il collaboratore potrebbe essere tenuto, nel caso di impedimenti di qualsiasi natura presso il sito da cui opera, a segnalare al suo referente, la situazione venutasi a determinare, al fine di permettere all’organizzazione di attivare misure alternative. Dati trattati: stato dei sistemi di pertinenza del collaboratore ed eventuali misure alternative messe in atto.

Misure che il dipendente in smart working deve applicare – Tali misure integrano quelle che sono loro fornite nel ruolo di autorizzato (art. 29 del GDPR); alcuni esempi che possono essere valutati:

• il luogo di lavoro dovrebbe presentare caratteristiche ambientali che garantiscono riservatezza e un ambiente protetto, silenzioso e dotato di adeguati sistemi che garantiscano la connettività;
• lo smart working dovrebbe essere vietato in luoghi come strutture ricettive, locali/spazi pubblici o aperti al pubblico;
• azioni/istruzioni che dovrebbe applicare il lavoratore per:

+ un uso efficiente ed efficace delle piattaforme di videoconferenza e dei sistemi di messaggistica istantanea o altri sistemi social, quando permessi;
+ la gestione degli apparati forniti dall’azienda quando questi sono portati all’esterno delle sedi aziendali (ad es. divieto di lasciarlo in luoghi incustoditi;
+ la manutenzione e configurazione dell’apparato aziendale in dotazione al dipendente, tali attività restano comunque in carico all’azienda; eventuali divieti nell’uso di strumenti personali per l’effettuazione della prestazione lavorativa.

• il lavoratore dovrebbe rispettare le indicazioni relative alla strumentazione, che potrebbe essere a carico dell’organizzazione, necessaria per la connessione alla extranet Aziendale – VPN; ovvero, nel caso di attività fuori sede non stabile e non continuativa, potrebbe essere richiesto al collaboratore di utilizzare strumentazione di proprietà personale. I costi sostenuti per usufruire della connettività da remoto saranno presi in carico da organizzazione/collaboratore/entrambi.

Possono anche essere fornite indicazioni in merito all’abbigliamento – dress code – richiesto al dipendente, così come indicazioni in merito allo sfondo che deve essere utilizzato quando lo stesso partecipa a sessioni in teleconferenza.

Per quanto riguarda riservatezza, la tutela del know-how aziendale e la protezione dei dati degli interessati, è necessario specificare che il collaboratore deve mettere in atto, in relazione alla particolare modalità della prestazione affidatagli, ogni misura per evitare interferenze con l’ambiente lavorativo, disconnettere gli apparati al termine della sessione di lavoro e archiviare in modo sicuro la documentazione cartacea.

È necessario fornire al collaboratore anche indicazioni sulla distruzione della stessa o la successiva archiviazione presso la sede aziendale.

Quelle riportate sono misure di protezione in carico agli autorizzati; ulteriori misure ben più articolate e specifiche devono essere definite ed implementate in carico all’area IT per la protezione dei sistemi e dei dati a cui si possa accedere da remoto.

Inoltre, sempre in carico alla funzione IT è opportuno che siano definite le modalità e la frequenza con cui si verifica l’efficienza degli apparati affidati ai collaboratori, astenendosi ovviamente dall’effettuare controlli a distanza, al fine di permettere a quest’ultimo di operare in un contesto efficiente.

Supporto che l’organizzazione può dare al dipendente – In alcuni casi sono definite forme di facilitazione/compensazione alternative allo smart working per quei dipendenti che non possono far ricorso a tale modalità, come ad esempio godere di alcune giornate di ferie aggiuntive o partecipare, a spese dell’azienda, a corsi di formazione.

Adempimenti Privacy – Essi devono essere considerati, anche alla luce dei nuovi possibili trattamenti relativi allo smart working;

• integrazione dell’informativa e del registro dei trattamenti con i dati trattati – paragrafo “Informazioni che possono essere trattate, relative al dipendente in smart working”;
• aggiornamento dell’analisi dei rischi ed identificazione delle misure poste in atto – paragrafo “Misure che il dipendente in smart working deve applicare”;
• introduzione, nelle procedure del ciclo di vita degli asset forniti ai collaboratori, delle misure che caratterizzano tali strumenti;
• attività di audit che contempli anche gli aspetti relativi allo smart working;
• nell’ipotesi in cui le attività in smart working comportino l’introduzione di sistemi automatizzati (decisionali o di monitoraggio), deve essere effettuata una valutazione d’impatto nel rispetto di quanto indicato dall’art. 1-bis del D.lgs 104/2022.

Conclusioni – Per quanto iniziano a consolidarsi delle forti resistenze ad un ricorso massiccio allo smart working, tale forma di lavoro è ormai entrata a far parte della routine. Quindi, attraverso l’applicazione delle misure indicate e di eventuali altre che con il progresso della tecnologia potrebbero rendersi disponibili, sarà possibile aumentare il livello di sicurezza con cui si trattano le informazioni ed anche mettere in atto sistemi che permettano di affrontare situazioni emergenziali, come ad esempio la riduzione di disponibilità di energia a costi accettabili.

Fonte: Federprivacy