Smart working: regole e best practice per ridurre i rischi in ambito data protection

L’emergenza sanitaria ci ha portato a focalizzare l’attenzione su nuove attività dalle forti implicazioni privacy (es. attività di misurazione della temperatura corporea, raccolta di informazioni di coloro che accedono in azienda, adozione di protocolli di sicurezza aziendali anti Covid-19 nonché di soluzioni di distanziamento fisico e di ricostruzione dei contatti all’interno degli spazi aziendali rispettosi della “privacy” dei lavoratori) ma, allo stesso tempo, ha offerto e sta offrendo alle aziende l’opportunità di riaffermare, con forza, l’importanza di rendere privacy compliant i processi connessi alle attività di remote e/o smart working (per praticità qui cumulativamente definite con l’accezione di “smart working”) indispensabili anche domani, in quella che sarà, e già è, la nuova normalità: vediamo quindi, previlegiando una prospettiva a lungo temine, quali possono essere alcune linee guida e best practice a cui le aziende possono fare riferimento.

Predisporre o aggiornare il regolamento per l’uso degli strumenti IT

Come segnalato dall’ex Presidente del Garante Privacy Antonello Soro^[1], il distanziamento fisico imposto a fini di contenimento dell’epidemia ha ridisegnato tempi e spazi di vita scanditi da usi consolidati, accelerando in misura esponenziale quel passaggio al digitale che altrimenti sarebbe stato assai più lento e, però, anche più mediato e meditato.

La tecnologia ci sta indubbiamente venendo in soccorso colmando con la connessione le distanze fisiche e ricreando, nello spazio digitale, nuovi (per alcuni) spazi di lavoro. La traslazione on-line di pressoché tutte le attività lavorative non è, infatti, un processo neutro, ma comporta, se non assistito da adeguate garanzie, l’esposizione a inattese vulnerabilità in termini non solo di sicurezza informatica ma anche di soggezione a ingerenze e controlli spesso più insidiosi, perché meno percepibili di quelli tradizionali.

Il diffuso ricorso allo smart working – per alcune realtà improvvisato – da parte tanto datoriale quanto dei lavoratori, ha catapultato una quota significativa della popolazione aziendale in una dimensione nuova, con implicazioni di cui spesso non si ha piena consapevolezza e che, come tali, vanno quindi regolate.

In queste ultime settimane sono state numerose, a livello europeo, le linee guida emanate da Autorità di Controllo in ambito privacy che hanno fornito utili best practices e raccomandazioni in merito allo svolgimento di attività in smart working^[2]. Anche l’Enisa (EU Agency for Cybersecurity) ha pubblicato alcuni tips al riguardo.

È questo quindi il momento opportuno per riaffermare l’esistenza di alcuni importanti adempimenti in materia di applicazione della normativa privacy, che devono essere indispensabilmente considerati in caso di attività svolte da remoto dai lavoratori.

Le aziende sono infatti ormai consapevoli di dovere affrontare un duplice sfida: dotare i propri lavoratori di strumenti sufficientemente sicuri e protetti a maggior tutela dei dati di titolarità dell’azienda medesima (ad es. dati di clienti trattati dal dipendente da remoto e in ambiente domestico) e, al contempo, garantire il rispetto dei diritti, nonché la riservatezza e la “privacy” dei lavoratori, a fronte della raccolta di dati personali che vengono “generati” dallo smart worker proprio tramite l’utilizzo degli strumenti di cui questo fa uso.

Nell’ambito di questa modalità di lavoro (che è presumibile diventerà la nuova normalità, per cui l’idea di una forza lavoro da remoto si ritiene, per alcune realtà, che sia destinata a rimanere) è, pertanto, doveroso focalizzarsi non solo sull’implementazioni di misure di sicurezza tecniche.

Ad esempio, è importante:

1. prevedere applicazioni aziendali accessibili solo attraverso canali di comunicazione criptati SSL VPN/IPSec;
2. predisporre accessi alla VPN almeno quotidiani per eseguire gli aggiornamenti anche di sicurezza;
3. prediligere accessi applicativi con autenticazioni multifattoriali;
4. prevedere soluzioni di encryption per salvaguardare i dati personali “at rest”, cioè salvati eventualmente/temporaneamente in locale;
5. verificare la presenza e il regolare aggiornamento di antivirus/antimalware; ecc.) ma anche sulla previsione di misure organizzative e procedurali.

Prima fra tutte vi è la necessità di aggiornare (o elaborare ex-novo laddove non sia già presente) un regolamento/disciplinare/AUP per l’uso dei dispositivi e strumenti IT, da rendersi per iscritto (questo, per rispondere anche all’art. 29 del GDPR, il quale prevede che i soggetti autorizzati al trattamento debbano essere previamente istruiti sulle regole da seguire quando accedono a dati personali gestiti dall’azienda come titolare/eesponsabile del trattamento).

Su questo tema sia permessa una nota: molte aziende che già disponevano di processi, policy e regolamenti per il lavoro a distanza, condivisi e validati internamente, si sono trovate in una posizione previlegiata considerando le attuali circostanze; hanno dovuto cioè solamente assicurare, seppure con qualche difficoltà, che tali regole venissero rispettate da tutta la forza lavoro che agiva da remoto.

Tuttavia, aziende con una forza lavoro dislocata esclusivamente in loco o con un numero limitato di dipendenti in telelavoro, si sono trovate a dover definire tali regole direttamente nel momento emergenziale se non anche, in taluni casi, ad avviare le attività senza un’adeguata “copertura” fornita da regolamenti/disciplinari scritti e/o conosciuti dalla forza lavoro coinvolta. Per queste realtà, tale mancanza rappresenta, già di per sé, un elemento di non conformità.

Si riafferma, quindi, in maniera insistente, l’importanza per le organizzazioni di dotarsi – al di là del momento emergenziale in corso – di un regolamento/disciplinare/AUP per l’uso degli strumenti IT che sia, prima di tutto, coerente: con le prescrizioni del Garante Privacy contenute nel documento “Lavoro: le linee guida del Garante per posta elettronica e internet, 1 marzo 2007”, con alcuni ultimi ed ulteriori orientamenti emessi dalla medesima Autorità su ambiti specifici di cui si dirà nel seguito, nonché con le indicazioni fornite dall’EDPB (ex WP29) ad esempio nel Parere 2/2017^[3].

Smart working: best practice in ambito data protection

Nel particolare momento emergenziale in cui ci troviamo, ancor più attenzione andrà quindi riservata ai seguenti temi (che proprio in tale regolamento/disciplinare/AUP dovranno essere trattati):

1. evitare quanto più possibile la previsione di utilizzo di device privati per svolgere l’attività lavorativa. Laddove l’azienda abbia intenzione di consentire/o abbia già consentito ai dipendenti l’utilizzo di device privati per eseguire l’attività lavorativa, andranno necessariamente verificati i rischi derivanti da tale approccio, non solo dal punto di vista di privacy compliance, ma anche guardando alle buone prassi di security governance. In caso di accesso al sistema informatico aziendale e/o alle informazioni aziendali (tra cui anche i dati personali trattati dall’azienda come titolare e/o responsabile del trattamento ai sensi del GDPR) tramite dispositivi di connessione non aziendali quale il router di casa o pc privato, sarà necessario prevedere un’adeguata policy che porti dal Bring Your Own Device (BYOD) a quello che potremmo definire, a parere di chi scrive, del Make Your Own Device Secure (MYODS) e che prescriva l’effettuazione di controlli atti a verificare la presenza delle impostazioni di sicurezza considerate indispensabili per l’azienda. Sarà ad esempio suggeribile, con riferimento all’utilizzo di dispositivi di connessione domestici da parte della propria forza lavoro, indicare/allegare (in linguaggio semplice) al regolamento/disciplinare, apposite istruzioni sulle misure che si richiede al lavoratore di verificare o, se del caso, implementare per rendere maggiormente protetti i dispositivi e, quindi, le informazioni trattate da casa (es. tramite inserimento dei Mac Address dei dispositivi noti nel router di casa, disabilitazione della funzione WPS e del broadcast dell’SSID, etc.). In tema di protezione delle reti Wi-Fi un contributo da cui prendere spunto, pur non recentissimo (ma ancora oggi considerato dalla CNIL francese tra le risorse utili da considerare) è costituito dalle raccomandazioni (ad uso di sviluppatori, amministratore di sistema, IT/Security Manager, ma anche di end-user) riportate nel documento “Consigli di Sicurezza per la rete Wi-Fi” dell’ANSSI, ovvero la National Cybersecurity Agency francese. Nell’ambito dei rischi connaturati all’ambito del telelavoro e del BYOD si segnalano inoltre alcune raccomandazioni pratiche, sempre fornite dalla CNIL, nella sezione “BYOD: quali sono le migliori pratiche?” e ulteriori utilissimi richiami, della medesima Autorità, alle indicazioni del NIST disponibili nella “Publication 800-114 Revision 1 – User’s Guide to Telework and Bring Your Own Device (BYOD) Security”. Quindi, in merito all’eventuale utilizzo di device privati (es. pc portatili) che si colleghino alle risorse, servizi e infrastrutture proprie della rete aziendale, come anche indicato nel documento di Enisa citato inizialmente, potrebbe essere suggeribile in ambito data security prevedere dei controlli utilizzando soluzioni di Network Access Protection – NAP o di Network Access – NAC (al fine, ad esempio, di verificare la presenza di patch di sicurezza, avere conferma di un anti-malware abilitato ed aggiornato, effettuare controlli di configurazione nonché applicare  misure di sicurezza nei confronti degli endpoint, con l’attivazione di funzionalità automatiche di remediation e consentire l’accesso ai soli che risultino essere compliant cioè autenticati, sicuri e “in regola” con la security policy aziendale preventivamente definita). Sarebbe poi inoltre opportuno previlegiare l’implementazione e il mantenimento di soluzioni di sandboxing, compartimentazione o virtualizzazione per segregare, all’interno dei dispostivi personali, le informazioni private da quelle lavorative;
2. assicurarsi che una policy di gestione delle Violazioni dei dati personali sia effettivamente predisposta, correntemente in uso e che i lavoratori siano adeguatamente informati (anche per il tramite del ciato regolamento/disciplinare) e quindi che ben conoscano il punto di contatto a cui segnalare incidenti di sicurezza anche qualora non si abbia (come spesso accade) immediata certezza che questi siano qualificabili come Violazioni dei dati personali^[4] ai sensi del GDPR;
3. informare i lavoratori su come evitare di cadere vittima di tecniche di phishing (è importante aumentare la consapevolezza della sicurezza nell’ambiente digitale poiché si sta assistendo ad un aumento degli attacchi di phishing che sfruttano, con successo, la situazione emergenziale contingente);
4. dare indicazioni circa l’evitare lo scambio di informazioni aziendali riservate attraverso canali potenzialmente insicuri (es. posta elettronica) e di non condividere gli URL delle riunioni virtuali sui social media o su altri canali pubblici (terzi non autorizzati potrebbero, in questo modo, accedervi);
5. assicurare che siano disponibili risorse informatiche adeguate per supportare il personale IT dell’azienda in caso di problemi tecnici durante lo svolgimento di attività in smart working nonché fornire i riferimenti dei punti di contatto IT a tutto il personale in forza;
6. richiedere di mantenere in sicurezza i processi e l’accesso ai dati (anche quelli, eventualmente, su supporto cartaceo qualora tale modalità di trattamento sia consentita allo smart worker), in maniera più attenta di quando ci si trovi in ufficio. Ad esempio, sarà necessario chiedere ai dipendenti, anche in contesto domestico, di chiudere tutti i documenti aperti e di attivare le funzioni di log out del dispositivo assegnato in tutti i casi di allontanamento temporaneo dalla propria postazione, al fine di evitare che soggetti non autorizzati (es. congiunti, famigliari, ospiti) possano anche inavvertitamente venire a conoscenza di informazioni aziendali;
7. dare indicazioni circa l’utilizzo di strumenti di collaboration/videoconferenza/meeting/archiviazione e condivisione di documenti, che siano stati previamente individuati dall’azienda a fronte di un’attività di scouting finalizzata a verificare le garanzie in ambito data protection e Information Security e, quindi, la presenza di misure di sicurezza tecniche ed organizzative a tutela della riservatezza, integrità e disponibilità dei dati personali trattati (es. cifratura dei dati “ a riposo” ma anche di quelli in fase di trasmissione ecc.). In tali casi, in via generale, andrà inoltre sottoscritto, previa verifica con le funzioni aziendali competenti, un Accordo/Data Processing Agreement-DPA (ai sensi dell’art. 28, GDPR) con il provider della piattaforma.

Inoltre, al di là del momento emergenziale, si segnala che il regolamento/disciplinare/AUP per l’uso dei dispositivi e strumenti IT dovrà necessariamente preoccuparsi di regolare altri “temi caldi”, ad esempio:

1. indicare chiaramente le modalità individuate dall’Azienda per la conservazione dell’e-mail dei lavoratori in forza e di quelli cessati, coerentemente alle indicazioni del Garante Privacy^[5] nonché, più in generale, i tempi di retention dei dati concernenti l’uso di altri strumenti elettronici da parte dei lavoratori (ad esempio log di eventuali strumenti di content filtering; log di accesso agli strumenti di produttività individuale quale la posta elettronica nonché dei dati esteriori contenuti nella cosiddetta “envelope” dei messaggi scambiati; log degli accessi Active Directory ecc.);
2. fornire chiara indicazione agli utenti di quali siano gli eventuali spazi/servizi di cloud computing specificatamente individuati e pre-autorizzati dall’azienda per lo svolgimento dell’attività lavorativa (al fine di impedire agli utenti di sottoscrivere servizi, contratti e/o creare autonomamente account su servizi di cloud computing per scopi lavorativi e/o per memorizzare, archiviare, scambiare, condividere tramite questi, dati personali nonché informazioni aziendali;
3. dare precise indicazioni circa le finalità di verifica perseguite dall’azienda (es. prevenzione e riduzione, ove possibile, dei rischi connessi alle commissioni di eventuali illeciti attraverso l’uso degli strumenti; tutela del sistema informatico e/o del patrimonio informativo aziendale ecc.) e delle modalità di controllo. Queste dovranno essere sempre improntate e rispettose del principio della “gradualità” nell’ampiezza e nella tipologia dei dati raccolti e trattati, prevedendo l’assoluta residualità di controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie. In questa prospettiva, è sempre quindi utile e necessaria l´adozione di soluzioni improntate alla privacy-by-design ovvero, da una parte, la progettazione degli strumenti e processi preposti ai controlli andrà configurata in modo da minimizzarne l’invasività e da evitare la limitazione eccessiva della riservatezza di chi a quei controlli viene sottoposto e, dall’altra, l’adozione di preventivi accorgimenti tecnici tali da impedire l’ingenerarsi di comportamenti non consentiti agli utenti andrà privilegiata, onde evitare di rendere necessaria al datore di lavoro la successiva verifica di comportamenti anomali.

Infine, si ritiene di fondamentale importanza riaffermare due ulteriori aspetti:

1. le aziende devono garantire, come detto, che qualsiasi trattamento di dati personali riferiti ai lavoratori svolto nel contesto dell’utilizzo di strumenti di smart working, sia conforme non solo alla normativa privacy ma anche a quella giuslavoristica. Il ricorso intensivo alle nuove tecnologie per rendere la prestazione lavorativa non può rappresentare l’occasione per il monitoraggio sistematico e ubiquitario del lavoratore, ma deve avvenire nel pieno rispetto delle garanzie sancite dallo Statuto dei Lavoratori, che presuppone anzitutto un’adeguata formazione e informazione del lavoratore in ordine al trattamento cui i suoi dati saranno soggetti. Va, in particolare, inteso in modo rigoroso il vincolo finalistico alla prestazione lavorativa che, rispetto ai controlli sugli strumenti utilizzati per rendere tale prestazione, legittima l’esenzione dalla procedura concertativa o autorizzativa (art. 4, comma 2, Legge 1970/300 – Statuto dei Lavoratori). Non sarebbe, ad esempio, legittimo fornire allo smart worker un dispositivo dotato di funzionalità che consentano al datore di lavoro di esercitare un monitoraggio sistematico e pervasivo dell’attività compiuta dal dipendente tramite, appunto, il dispositivo medesimo^[6]. Ciò significa che, nel momento in cui tale strumento dovesse essere modificato (ad esempio, con l’aggiunta di appositi software di localizzazione o filtraggio) per controllare il lavoratore, si uscirebbe dall’ambito della disposizione che legittima l’esenzione dalla procedura concertativa o autorizzativa: in tal caso, infatti, il pc, il tablet o il cellulare (dotati di tale nuova funzionalità) diverrebbero da strumenti necessari al lavoratore per rendere la prestazione, a strumenti che servono al datore per controllare la prestazione. Con la conseguenza che queste “modifiche” (dalle quali, anche in un periodo emergenziale, derivi la possibilità di controllo a distanza) potrebbero avvenire solo alle condizioni ricordate sopra: la ricorrenza di particolari e dimostrabili esigenze che ne legittimino l’adozione (ad esempio finalità organizzative e produttive e/o di tutela del patrimonio aziendale) nonché l’accordo sindacale o l’autorizzazione amministrativa;
2. le aziende dovranno verificare che l’Informativa privacy fornita ai dipendenti (art.13, GDPR) laddove, come sia doveroso aspettarsi, richiami i trattamenti svolti tramite gli strumenti informatici aziendali utilizzati dai lavoratori, sia coerente a quanto indicato all’interno del regolamento/disciplinare/AUP per l’uso degli strumenti IT in merito ai trattamenti/controlli che l’azienda ha previsto di mettere in atto con riferimento ai dati personali dei dipendenti (in particolare andrà verificato che tra i due documenti, magari aggiornati in momenti temporali diversi, vi sia piena corrispondenza e sintonia in termini di finalità del trattamento, base giuridica, tempi di data retention ecc.); si ricordi infatti che i lavoratori devono essere sempre informati in maniera dettagliata sulle modalità e le caratteristiche dei controlli, affinché abbiano ben chiaro come e quando i dati possono venir raccolti dai software aziendali e in quali situazioni possono essere utilizzati (questo anche in conformità alla previsioni dell’art.4, comma 3 della Legge 1970/300 – Statuto dei Lavoratori). Dovrà quindi essere esplicitata in che misura l’adozione da parte dell’azienda di misure tecnologhe ed organizzative (tali da poter determinare una raccolta di dati riferibili ai lavoratori) venga contemperata con la legittima aspettativa di riservatezza che deve essere sempre riconosciuta ai propri dipendenti (sia quelli in forza che quelli cessati).

Smart working, best practice: riattualizzare l’analisi dei rischi privacy

Un cenno ora ad un tema forse poco trattato in riferimento alle attività svolte da remoto ma, a parere di chi scrive, di primaria importanza.

Si può pacificamente affermare che il lavorare in modalità smart working, espone il patrimonio informativo aziendale (compresi quindi anche i dati personali trattati dallo smart worker che afferiscono all’azienda come titolare o responsabile del trattamento) a nuovi rischi che necessitano di essere analizzati e indirizzati con misure adeguate, non solo sotto il profilo tecnologico, ma anche organizzativo.

La tecnologia, infatti, non è la sola fonte di rischio, occorre ad esempio considerare l’ambiente fisico e le modalità in cui lo smart worker svolge la prestazione lavorativa.

Dobbiamo partire dal presupposto che un nuovo contesto, come quello che contraddistingue l’era dello smart working, comporta una naturale variazione nelle modalità di trattamento ovvero, e più in particolare, una modifica dei supporting asset (cioè degli strumenti/dispositivi utilizzati dal lavoratore sui quali, come abbiamo visto, l’Azienda può non avere il pieno governo e dominio).

Questo a livello aziendale può portare (come presumibile) ad un’estensione della “superficie di attacco” nei confronti dei dati personali trattati e in una naturale modifica dei livelli di rischio privacy (da intendersi così come definito dal GDPR cioè come il rischio per i diritti e le libertà degli interessati derivante da un trattamento di dati personali che possa cagionare a questi un danno fisico, materiale o immateriale) o, meglio, della “probabilità” che una data minaccia e quindi un evento pregiudizievole, possa concretamente manifestarsi sui dati trattati.

Quindi, come comportarsi? All’atto pratico (anche in ragione del fatto che uno degli elementi fondamentali per la “prova” di conformità al GDPR è rappresentato proprio dall’implementazione di adeguate misure di sicurezza tecnico e organizzative individuate a fronte di una previa e documenta analisi) si ritiene doveroso che le aziende riaggiornino l’Analisi dei Rischi Privacy conformemente alle previsioni di cui all’art. 32 del GDPR, affinché questa consideri il contesto “smart working” e le relative specificità quando effettuato con sistematicità e ricorrenza.

Tale attività si rileverà tanto più necessaria qualora, guardando naturalmente al contesto aziendale di riferimento, ci si trovi di fronte a situazioni in cui l’azienda permetta un utilizzo (promiscuo, quindi anche per fini privati) dello strumento di lavoro assegnato (è il caso in cui, ad esempio, a genitori con figli venga consentito l’utilizzo di un dispositivo aziendale per permettere a quest’ultimi di seguire le lezioni scolastiche in modalità e-learning o per effettuare ricerche in rete richieste dall’istituto scolastico) o l’utilizzo di device privati per svolgere l’attività lavorativa.

NOTE

1. Si veda l’audizione, del 25 maggio 2020, in videoconferenza in Commissione parlamentare per la semplificazione, nell’ambito dell’indagine conoscitiva in materia di semplificazione dell’accesso dei cittadini ai servizi erogati dal Servizio Sanitario Nazionale. ↑
2. Si citano, a titolo di esempio non esaustivo, quanto indicato dall’Autorità di Controllo francese, da quella portoghese; da quella spagnola e da quella inglese. ↑
3. Al riguardo, si segnala quanto indicato dal citato Parere “[…] In secondo luogo, i datori di lavoro devono attuare e comunicare politiche di utilizzo accettabili, corredate da politiche in materia di tutela della vita privata, che descrivano l’utilizzo consentito della rete e delle attrezzature dell’organizzazione e dettaglino con precisione il trattamento in atto. In alcuni paesi la creazione di una tale politica richiederebbe per legge l’approvazione del consiglio dei delegati o di un organismo analogo di rappresentanza dei dipendenti. Nella pratica, spesso tali politiche sono redatte dal personale preposto alla manutenzione delle attrezzature informatiche. Dato che il loro obiettivo principale sarà quindi soprattutto la sicurezza e non la legittima aspettativa di tutela della vita privata dei dipendenti, il Gruppo di lavoro raccomanda di coinvolgere sempre un campione rappresentativo di dipendenti nella valutazione della necessità del monitoraggio, nonché della logica e dell’accessibilità della politica […]”. ↑
4. Da intendersi, qui, nella definizione prevista dall’art. 4, punto 12, GDPR, cioè come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. ↑
5. Si vedano ad esempio: il Provvedimento del 5 marzo 2015 del Garante Privacy, doc. web n. 3985524; il Provvedimento “Accesso alla posta elettronica dei dipendenti – 22 dicembre 2016”, doc. web n. 5958296; il Provvedimento “Trattamento di dati personali effettuato sugli account di posta elettronica aziendale – 1° febbraio 2018”, doc web. 8159221. ↑
6. Sul tema più generale dei controlli datoriali, si vedano, ad esempio, alcuni Provvedimenti del Garante Privacy, quali: “Trattamento di dati personali dei dipendenti mediante posta elettronica e altri strumenti di lavoro – 13 luglio 2016”, doc. web n. 5408460; “Lavoro privato: monitoraggio degli accessi Internet del dipendente – 2 aprile 2009”, doc. web. n. 1606053; “Internet: proporzionalità nei controlli effettuati dal datore di lavoro – 2 febbraio 2006”, doc. web. n. 1229854. ↑