Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

INDICAZIONI OPERATIVE

Tutela della privacy alla prova dello smart working: linee guida

In un momento storico in cui sono sempre di più le aziende che ricorrono allo smart working, è necessario porre la necessaria attenzione alla tutela della privacy dei lavoratori. Ecco alcune utili linee guida per affrontare le problematiche poste dal lavoro agile in tema di riservatezza dei dati

25 Mar 2020
B
Giorgia Benatti

Dottoressa in Legge

C
Vittorio Colomba

Avvocato esperto in diritto delle nuove tecnologie e protezione dei dati personali


A causa dell’attuale emergenza sanitaria dovuta alla pandemia di coronavirus Covid-19, molte aziende hanno dovuto attivare modalità di lavoro agile utili a garantire la loro continuità operativa: questa particolare situazione fa sì che la tutela della privacy dei lavoratori venga messa alla prova dello smart working.

È dunque utile inquadrare i parametri e i riferimenti normativi e individuare alcune linee guida per affrontare le problematiche poste dallo smart working in tema di riservatezza dei dati.

Smart working e privacy: parametri e riferimenti normativi

La Legge del 22 maggio 2017, n. 81 “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato” ha introdotto per la prima volta in Italia una formale regolamentazione del fenomeno dello smart working: modalità di esecuzione del rapporto di lavoro subordinato volta a “agevolare la conciliazione dei tempi di vita e di lavoro”[1] e in virtù della quale le prestazioni possono essere rese “in parte all’interno di locali aziendali e in parte all’esterno senza una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale”[2] (art. 18, comma 1).

Tuttavia, il quadro normativo di riferimento è generale: da un lato non fornisce alcuna prescrizione in materia di privacy, limitandosi (all’art. 21) ad un rinvio alle previsioni di cui all’art. 4 Statuto dei Lavoratori e, dall’altro rimanda ad un accordo fra le parti la disciplina degli aspetti più rilevanti.

Alla luce dell’art. 4 Statuto dei Lavoratori[3], le prerogative del datore di lavoro – in particolare in tema di potere di controllo – devono rispettare determinati limiti per garantire il rispetto della dignità umana del lavoratore (art. 2 Cost.). In particolare, il datore può:

  • installare impianti audiovisivi e altri strumenti – dai quali può anche solo derivare un possibile controllo – in presenza di specifiche condizioni: determinate esigenze di natura organizzativa, produttiva, di tutela del patrimonio aziendale o della sicurezza del lavoro; previo accordo con le rappresentanze sindacali (territoriali o nazionali) o, in mancanza, previa autorizzazione della sede (territoriale o centrale) dell’Ispettorato Nazionale del Lavoro (comma 1);
  • installare impianti audiovisivi e altri strumenti – dai quali può anche solo derivare un possibile controllo – senza che siano necessari previ accordi o autorizzazioni con riferimento ai soli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa[4] e strumenti di registrazione degli accessi e delle presenze (comma 2);
  • utilizzare tutte le informazioni raccolte ai sensi dei commi 1 e 2 per tutti i fini connessi al rapporto di lavoro – dunque anche disciplinari -, purché fornisca al lavoratore un’informazione adeguata circa le modalità d’uso degli strumenti e di effettuazione dei controlli, nonché di una completa informativa privacy ai sensi degli artt. 12 e 13 GDPR (Reg. UE 2016/679).

La privacy nell’esecuzione agile della prestazione

Con riferimento alle nuove possibilità di organizzazione del lavoro – che conciliano interessi di impresa e lavoratore -, il tema della privacy assume particolare preminenza non solo in un’ottica di tutela del lavoratore, ma anche di tutela dell’impresa, la quale tende a rinunciare a parte del suo potere di controllo e diviene soggetto maggiormente vulnerabile, anche ad attacchi di soggetti terzi, tanto da ritenere irrinunciabile una più intensa cooperazione con gli smart workers, che sono chiamati a tenere una condotta particolarmente diligente circa l’utilizzo e la custodia degli strumenti di lavoro e la tutela dei dati trattati.

Attività prodromiche all’instaurazione di un rapporto smart

  1. Predisposizione di una policy aziendale recante una serie di elementi essenziali che rispondono agli obblighi di informativa facenti capo al datore di lavoro. Il datore deve indicare specifiche linee guida di comportamento – oltre ai basilari doveri di diligenza – per garantire una corretta esecuzione della prestazione lavorativa nel pieno rispetto delle misure di sicurezza e alla luce della necessaria cooperazione dello Smart worker. In particolare, deve suggerire accorgimenti e regole in tema di utilizzo[5] e ricovero degli strumenti di lavoro; di gestione della password; di operatività dell’Antivirus; di conservazione di file e documenti; di protezione dei dispositivi portatili; di utilizzo di Internet e della posta elettronica. Deve, inoltre, indicare in via preventiva le conseguenze disciplinari in caso di violazione delle regole di comportamento e fornire informazioni circa eventuali attività di monitoraggio – che devono attenersi ai principi di necessità, correttezza, pertinenza e non eccedenza – (indicando modalità, finalità e soggetti autorizzati a procedervi) e la conservazione dei relativi dati.
  2. Valutazione preventiva – e obbligatoria[6]di impatto sulla protezione dei dati (ex art. 35 GDPR), ossia predisposizione di una procedura – soggetta a continua revisione – volta a descrivere un singolo trattamento di dati ovvero più trattamenti analoghi in termini di natura, ambito, contesto, finalità e rischi, al fine di valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di adottare tutte le misure di sicurezza idonee ad affrontarli.
  3. Predisposizione di una specifica procedura in caso di data breach (ex artt. 33, 34 GDPR) di cui devono essere adeguatamente informati i lavoratori, dovendo gli stessi dare tempestiva informazione al datore di lavoro nel caso in cui si verifichi – nell’ambito della loro attività – una violazione dei dati personali oggetto di trattamento che ponga a rischio i diritti e le libertà delle persone fisiche;
  4. predisposizione di un’adeguata informativa privacy – aderente ai dettami degli artt. 12 e 13 GDPR – da fornire al lavoratore circa il trattamento dei suoi dati personali raccolti mediante gli strumenti utilizzati e i software dai quali può derivare la possibilità di controllo da parte del datore di lavoro.

L’ accordo di smart working e l’attuale situazione emergenziale

Le concrete modalità di esercizio della prestazione agile, così come ulteriori e rilevanti profili di disciplina, sono demandate ad uno specifico accordo di smart working – a termine o a tempo indeterminato – stipulato per iscritto ai fini della regolarità amministrativa e della prova che dovrà indicare:

  • i controlli effettuabili attraverso gli strumenti di lavoro, anche in considerazione del fatto che il dipendente – contraente debole – non è più assistito, in tale ambito, dalla protezione dell’accordo sindacale o dell’autorizzazione dell’INL;
  • una chiara determinazione dell’esercizio dei poter datoriali: direttivo, di controllo e disciplinare[7];
  • una previsione dettagliata delle sanzioni disciplinari alla luce dei principi di proporzionalità e adeguatezza rispetto allo scopo perseguito;
  • forme di organizzazione per fasi, cicli e obiettivi, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa;
  • forme di attuazione concreta del diritto di disconnessione;
  • precise prescrizioni in ordine ai luoghi in cui è consentito rendere la prestazione lavorativa ovvero specifici divieti di comunicazioni delle credenziali di accesso a soggetti terzi. Prescrizioni volte ad evitare che lo Smart Worker assuma una condotta rischiosa per la riservatezza dei dati, garantendo l’utilità e l’efficacia di ogni accorgimento tecnico adottato dall’impresa a tutela del patrimonio aziendale e dei dati da salvaguardare.
WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

L’attuale situazione emergenziale – per il contenimento e la gestione dell’emergenza epidemiologica da Covid-19 – ha reso estremamente necessario introdurre una deroga – delimitata oggettivamente e temporalmente – alla generale disciplina del lavoro agile. Tant’è vero che la normativa emergenziale[8] ha indicato una procedura semplificata rispetto alla normativa istitutiva, pur nel rispetto dei principi dettati dalla stessa. La procedura semplificata prevede:

  • la deroga alla necessità dell’accordo scritto controfirmato dal lavoratore, la cui comunicazione, peraltro, può avvenire per via telematica esplicitando eventualmente il riferimento al D.P.C.M. del 1° marzo 2020 (accorgimento non imposto dal decreto);
  • la necessità della redazione di una comunicazione mediante il portale Cliclavoro da inviare preventivamente e comunque entro 5 giorni dall’avvio del lavoro agile;
  • l’adempimento degli obblighi di cui all’art. 22 Lg n. 81/2017 in via telematica anche ricorrendo alla documentazione resa disponibile sul sito dell’Istituto nazionale assicurazione infortuni sul lavoro. Visto il tipo di emergenza andrà specificato che il lavoratore è tenuto a svolgere la sua attività evitando luoghi a rischio contagio (treni, bar, biblioteche ecc.).

Privacy e smart working: come affrontare la riservatezza dei dati

I rischi – in tema di diritto alla privacy e di controlli in materia giuslavoristica – connessi all’uso delle nuove tecnologie non possono che aumentare e caratterizzarsi di nuovi e specifici connotati se riferiti al contesto dello smart working.

Per tale ragione, il datore di lavoro-titolare del trattamento deve correttamente inquadrare le problematiche in materia di privacy poste da questa nuova modalità di esecuzione del rapporto subordinato, in questa sede individuate, senza pretese di esaustività:

  • lo svolgimento del rapporto di lavoro in modalità smart rende necessario per il datore di lavoro ricorrere a strumenti che “riducano le distanze” comportando di fatto l’utilizzo di software, programmi o altri strumenti che permettano un contatto, talvolta un controllo da parte del datore. Questa esigenza del datore trova soddisfazione in forme di controllo a distanza del lavoratore che devono necessariamente porsi nei limiti di cui all’art 4 Statuto dei Lavoratori e nel rispetto di prassi aziendali e principi individuati dalla recente giurisprudenza[9];
  • nell’attuale contesto normativo da un lato manca una codificazione precisa del diritto di disconnessione del lavoratore e, da un altro lato, i profili essenziali della disciplina dello smart working sono devoluti all’accordo one-to-one: ciò rischia di compromettere l’effettiva concretizzazione dei principi ispiratori della Lg n. 81/2017 e della normativa in materia di privacy. Vi è, dunque, la concreta esigenza di stipulare contratti e accordi di smart working chiari e completi;
  • l’impresa è chiamata a rendere accessibile al lavoratore una serie di informazioni e di documenti necessari all’esecuzione delle proprie mansioni, rimanendo comunque onerata della protezione degli stessi. Il datore di lavoro deve, quindi, adottare misure e soluzioni tecniche idonee a prevenire la perdita e/o la diffusione dei dati, tanto nel rispetto dei principi di privacy nei confronti del lavoratore quanto a tutela dei propri interessi aziendali. Le principali soluzioni alle quali il datore di lavoro può ricorrere, oltre alla continua formazione dello smart worker, sono: VPN (Virtual Private Network); Cloud (Cloud Computing, ovverosia Nuvola Informatica); ACL (Access Control List), particolarmente efficace nel limitare il rischio di accesso non autorizzato, diffusione, perdita e distruzione dei dati;
  • le predette soluzioni consentono un’attività di log in parte assimilabile ad una sorta di controllo a distanza della prestazione lavorativa. È necessario valutarne la compatibilità con le previsioni in tema di privacy – una volta effettuata la necessaria valutazione alla luce dell’art. 4 Statuto dei Lavoratori;
  • le eventuali attività di controllo del lavoratore sono da realizzarsi nel rispetto dei principi di necessità e proporzionalità e nel rispetto dei limiti posti da libertà, dignità e diritto alla privacy del lavoratore, dunque non devono concretizzarsi in controlli continui e indiscriminati dell’attività del lavoratore. Il datore di lavoro, infatti, deve essere in grado di dimostrare che l’utilizzo delle tecnologie informatiche non rientri in un programma volto esclusivamente al controllo dell’attività del lavoratore e, nel rispetto del principio di accountability, deve garantire l’osservanza dei principi di privacy by design e privacy by default.

RIFERIMENTI BIBLIOGRAFICI

  • Colapietro C., Digitalizzazione del lavoro e tutela della riservatezza della persona, in Tullini P. (a cura di) Web e lavoro. Profili evolutivi e di tutela, Torino, 2017;
  • Dagnino E, Menegotto M., Pelusi L.M., Tiraboschi M., Guida pratica al lavoro agile dopo la legge n. 81/2017, in Adapt Labour Studies e-Book series, 2017;
  • Esping-Andersen G., Le nuove sfide per le politiche del XXI secolo. Famiglia, economia e rischi sociali dal fordismo all’economia dei servizi, in Stato e Mercato, n. 72, Il Mulino S.p.A., 2005;
  • Iacobucci V., Il controllo esterno nel lavoro agile, in Giustizia Civile, n.7/2018;
  • Rossi G., La privacy applicata allo smart working, in Beretta, Calafiori, Rossi, Vianello (a cura di) Smart working: le regole applicative – Commissione Lavoro Odcec Milano -, 3LB srl (LC), maggio 2018;
  • Turrin M., Il lavoro agile ai confini della subordinazione, in Giustizia Civile, n. 7/2018.

NOTE

  1. In virtù del c.d. principio di work-life balance di matrice europea la cui concretizzazione vede il riconoscimento del diritto fondamentale di tutti – e «non solo alle giovani madri, ai padri o a chi fornisce assistenza» – alla conciliazione tra vita privata, professionale e familiare.
  2. Lo smart working in questo si differenzia dal suo antecedente “storico”: il telelavoro, infatti, di contraddistingue per il per il requisito stringente, espressamente previsto dall’accordo-quadro europeo dell’8 ottobre 2004, della “regolarità” di svolgimento della prestazione.
  3. Lo Statuto dei lavoratori è stato successivamente novellato dal D.lgs. 151/2015.
  4. Da intendersi, alla luce delle interpretazioni avanzate dal Ministero del Lavoro e delle Politiche Sociali – nota 18 giugno 2015 -, dall’Ispettorato Nazionale del Lavoro – circolare n. 2 del 7 novembre 2016 – e dal Garante – provv. del 16 marzo 2017 -, come il mezzo indispensabile al lavoratore per adempiere la prestazione lavorativa messo a disposizione, per tale finalità, al lavoratore stesso.
  5. In tema vedasi il Provvedimento del Garante del giorno 2 ottobre 2009 cit.
  6. Nel caso in esame, il trattamento dei dati personali può avere ad oggetto dati sensibili o di natura personale, avviene avvenire su larga scala e mediante l’utilizzo di nuove soluzioni tecnologiche, tutti casi che richiedono obbligatoriamente una valutazione preventiva di impatto sulla protezione dei dati.
  7. In tema di potere direttivo e disciplinare del Datore di lavoro si veda Turrin M., Il lavoro agile ai confini della subordinazione, in Giustizia Civile, n. 7/2018.
  8. Dapprima dal D.P.C.M. del 25 febbraio 2020 limitatamente a determinati territori, successivamente applicabile all’intero territorio nazionale alla luce del D.P.C.M. del 1° marzo 2020.
  9. Ex multis, Sent. della Corte Europea dei Diritti dell’uomo – Barbulescu vs. Romania – del 5 settembre 2017; Sent. Cass., sez. lav., 3 novembre 2016, n. 22313 che afferma la necessità di «rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali dettata dal D.lgs. n. 196 del 2003, i principi di correttezza, di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile (cfr. sul punto Cass. civ., 5 aprile 2012, n. 5525 e n. 18443 del 1° agosto 2013)» nell’effettuare i controlli sul lavoratore. Ancora, il Garante Privacy con provvedimento 1° febbraio 2018 n. 53 ha ritenuto illecito ai sensi della normativa in materia di privacy il trattamento dei dati effettuato dal datore su un account di posta elettronica.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5