La situazione di emergenza creatasi con il dilagare del Coronavirus e la conseguente “serrata” imposta dal Governo hanno spinto molte aziende a fare di necessità virtù, attrezzandosi affinché i propri dipendenti possano continuare a lavorare da casa, ovverosia in smart working.
Il lavoro a distanza non è certo una novità e, anzi, risulta disciplinato dalla legge (l. 81/2017), che individua e detta il contenuto dell’accordo con cui il datore di lavoro regola il rapporto lavorativo a distanza. Le aziende che già utilizzavano questa modalità operativa e che avevano seguito le indicazioni operative della l. 81/2017, quindi, nel momento in cui è stato deciso il lockdown si sono trovate già “attrezzate” per poter continuare ad operare in modo efficiente e conforme alle norme vigenti.
In molti casi però, l’assenza di tempo utile a disposizione ha costretto le singole realtà lavorative ad attrezzarsi in fretta, magari con collegamenti da remoto approntati last minute, oppure chiedendo ai propri dipendenti di utilizzare risorse (pc, smartphone o altro) in uso a loro o addirittura ai loro familiari. Evidentemente, questo approccio non certo ponderato reca con sé il rischio che il lavoro a distanza non venga svolto nel rispetto delle prescrizioni normative in materia di privacy.
Gli aspetti da prendere in considerazione in particolare sono due: a) la sicurezza dei dati; b) la privacy dei dipendenti.
Sotto il primo profilo, viene in rilievo la valutazione di impatto privacy (DPIA) che l’azienda potrebbe (o dovrebbe…) aver svolto: la sicurezza dei dati è infatti uno degli aspetti fondamentali da prendere in considerazione prima di procedere al relativo trattamento. Chiaramente, il problema diventa rilevante se lo smart working non è mai stato preso in considerazione dal datore di lavoro, che quindi non ha mai approntato quelle misure e quegli strumenti necessari a garantire la sicurezza dei dati nello specifico caso di lavoro a distanza. Per fare un esempio concreto: se l’azienda utilizza solamente dei pc fissi, collegati ad un server interno, potrebbe non aver preso in considerazione la necessità di adottare opportune misure di sicurezza in grado di assicurare l’integrità dei dati che, avendo adottato lo smart working, viaggiano ora tra notebook e cloud.
Quali dovrebbero essere, quindi, gli accorgimenti da adottare, tenendo conto che, come noto, la normativa privacy non detta più le “misure minime”, ma lascia al datore di lavoro/titolare del trattamento il compito di valutare come organizzarsi al meglio per rispettare i vincoli? A titolo esemplificativo, ecco alcuni punti che andrebbero tenuti in considerazione:
– criptazione dei dati, tenendo conto che gli stessi non restano “confinati” nel perimetro aziendale;
– utilizzo di hardware aziendale, opportunamente equipaggiato con firewall e antivirus;
– adeguare la privacy policy aziendale, impartendo specifiche istruzioni di sicurezza per i dipendenti in smart working, perché questa modalità lavorativa reca con sé dei rischi specifici e, perciò necessita di prescrizioni ad hoc.
Quanto al secondo profilo, si pone il problema del controllo a distanza da parte del datore di lavoro. Come noto, la tematica è regolata dall’art. 4 dello Statuto dei lavoratori: secondo il comma 1 di tale articolo, il controllo è ammesso solo per specifiche esigenze (tutela patrimonio aziendale, sicurezza dei lavoratori, esigenze organizzative e produttive) e solamente in presenza di un accordo sindacale o di un’autorizzazione dell’Ispettorato del lavoro. Il comma 2 precisa che questa disposizione non si applica agli “strumenti utilizzati per rendere la prestazione lavorativa”; precisa comunque il comma 3 che resta possibile utilizzare le informazioni apprese (ad esempio, a fini sanzionatori) solamente se i lavoratori sono prima stati adeguatamente informati delle modalità d’uso degli strumenti e dell’effettuazione dei controlli, fermo restando il rispetto della normativa in materia di privacy.
Cosa succede, quindi, nel caso in cui il datore fornisca un notebook aziendale allo smart worker? Il notebook è sicuramente uno “strumento utilizzato per rendere la prestazione lavorativa”, per cui si potrebbe pensare che ricorra l’ipotesi del citato comma 2 (ovvero: non serve nessun accordo sindacale e nessuna autorizzazione dall’Ispettorato), ma tale impostazione contrasta con le indicazioni impartite dal Garante Privacy (provvedimento 303 del 2016), secondo cui i software che consentono, con modalità non percepibili dall’utente (c.d. in background ) e in modo del tutto indipendente rispetto alla normale attività dell’utilizzatore (cioè senza alcun impatto o interferenza sul lavoro del dipendente), operazioni di “monitoraggio”, “filtraggio”, “controllo” e “tracciatura” costanti ed indiscriminati degli accessi a Internet o al servizio di posta elettronica, non possono essere considerati “strumenti per rendere la prestazione lavorativa”. Questo significa, in sintesi, che il datore di lavoro, prima di fornire un notebook per lo smart working, dovrà verificare attentamente quali software siano installati e se, nell’ambito del collegamento da remoto alla rete aziendale, siano attivi degli strumenti tali da consentire un controllo a distanza: la risposta affermativa a tale risposta potrebbe rendere necessario un accordo a livello sindacale ovvero un’autorizzazione da parte dell’Ispettorato del lavoro, per verificare che il controllo rientri nei limiti consentiti dall’art. 4 Statuto lavoratori. Ottenuto un tanto, andrà fornita al lavoratore una adeguata informativa tanto sul funzionamento degli strumenti di controllo, quanto sul versante privacy, perché lo strumento di controllo dovrà comunque conformarsi alle prescrizioni dettate dal GDPR.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale