Con la Legge n. 81/2017 è stata disciplinata la prestazione di lavoro in modalità agile “con lo scopo di incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro, promuovendo il lavoro agile quale modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa.
La prestazione lavorativa viene eseguita, in parte all’interno di locali aziendali e in parte all’esterno senza una postazione fissa, entro i soli limiti di durata massima dell’orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva.
Il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell’attività lavorativa.”
Un cambiamento
Un cambiamento importante quindi per l’organizzazione del lavoro, rispetto alle modalità, ai luoghi, agli strumenti utilizzati, alle subentrate e diversificate necessità di sicurezza dei dati e delle informazioni, nonché della formazione degli incaricati.
Lo smart working, per come è stato concepito ormai dieci anni fa, ovvero “Un modello di organizzazione del lavoro fondato sulla consapevolezza delle persone rispetto alle proprie competenze, al proprio ruolo, alle proprie mansioni e sulla flessibilità e l’autonomia nella scelta degli spazi, degli orari e degli strumenti, da utilizzare a fronte di una maggiore responsabilizzazione sui risultati” (rif. Osservatorio Smart working Polimi) rappresenta una rivoluzione nell’organizzazione del lavoro e oggi riguarda milioni di persone.
Smart working: lo status quo attuale
Gli smart worker in Italia sono passati da 570.000 a febbraio 2020, a quasi 8 milioni durante il lockdown.
Oggi ci si è assestati intorno ai 3 milioni totali, tra organizzazioni private e pubbliche e la gestione di tutto questo rappresenta una delle questioni cruciali per le organizzazioni.
Lo è perché pone al centro la prestazione lavorativa, la definizione e il raggiungimento di obiettivi e non più tempi rigidi e luoghi fissi di lavoro.
Ma come impatta ciò sull’organizzazione del lavoro e quindi anche su regolamenti aziendali, sicurezza dei dati e delle informazioni e sui comportamenti dei collaboratori rispetto alle modalità di prestazione dell’attività lavorativa?
La risposta è moltissimo!
E dedicarsi alla gestione di questi aspetti non rappresenta, soprattutto sul medio-lungo periodo, un rallentamento dell’operatività, bensì una grande opportunità di ottimizzazione dei processi e di impostazione dell’accountability, pilastro del Reg. Eu 2016/679.
Un’opportunità per ottimizzare i processi
Da dove partire quindi?
Come sempre, in ambito di compliance privacy, da una mappatura dei trattamenti, sia cartacei che informatici, che poi si devono tradurre in informative chiare, dettagliate e pertinenti rispetto a tutto il flusso di dati.
Lo stesso vale per gli incarichi al trattamento (o mansionari) dei lavoratori, nei quali indicare correttamente i trattamenti, le banche dati, le operazioni consentite, verificando contestualmente che il profilo informatico corrisponda a quanto inserito negli incarichi specifici.
L’altro elemento fondamentale è il Regolamento aziendale, quello reso obbligatorio dal Provv. n. 13/2007 – Linee guida del Garante per posta elettronica ed internet.
La necessità strategica di aggiornare il regolamento
Quel provvedimento nasceva per definire le regole di utilizzo degli strumenti IT più utilizzati nelle aziende, che dal 2007 ad oggi si sono evidentemente evoluti in modo esponenziale, soprattutto i software, che hanno ridotto sempre di più il confine tra utilizzo privato e aziendale, fino quasi a ibridarlo completamente (si pensi ad esempio ai cellulari, all’utilizzo dei social media, utilizzati sia a livello personale che aziendale)
Il provvedimento nasceva con lo scopo di definire delle regole di utilizzo dei device aziendali, in particolar modo PC e telefoni cellulari, in modo da delinearne l’utilizzo consentito, definendo anche regole ben precise, in modo da poter garantire la sicurezza dei sistemi informativi e la tutela del patrimonio aziendale, senza violare la privacy dei lavoratori ed evitando anche di adottare (consapevolmente o meno) strumenti di monitoraggio, irrispettosi dell’Art. 4 Legge 300/70 (Statuto dei lavoratori).
L’importanza di una gestione efficiente
La policy aziendale è sempre stata uno strumento, non solo obbligatorio, bensì utilissimo, in mancanza della quale spesso le aziende si trovano in difficoltà, soprattutto per la gestione di situazioni particolari.
È il caso occorso durante un giudizio dinanzi al giudice del lavoro, promosso nei confronti di un ex dipendente, in cui il datore di lavoro ha presentato una email ricevuta sulla casella di posta dell’ex dipendente, ricevuta oltre un anno dopo la cessazione del rapporto di lavoro.
A poco è valsa la nota difensiva presentata dalla società al Garante quanto in nessuna politica di gestione della casella di posta era stata ben definita all’interno di un altrettanto ben definito regolamento aziendale, né tantomeno era stata consegnata un’informativa idonea, precisa e specifica che chiarisse ai collaboratori dell’azienda i trattamenti effettivamente svolti.
Il trattamento è stato considerato illecito dal Garante.
(Provv. n. 216 del 4 dicembre 2019)
Oggi un regolamento aziendale, aggiornato rispetto a un lavoro svolto più in autonomia, con strumenti aziendali, da sedi che non sono quelle delle organizzazioni (con reti cablate e spazi realizzati specificatamente per il lavoro), diventa un mezzo che prevede un’analisi profonda dell’organizzazione aziendale, nonché uno strumento strategico e di allineamento tra l’accountability richiesta dal GDPR e la responsabilizzazione, necessaria per operare in autonomia e con ampia flessibilità.
Quali potrebbero essere quindi alcune delle regole da impartire ai lavoratori attraverso un regolamento aziendale?
Sicuramente è necessario partire da regole ben chiare per:
- l’utilizzo dei PC e della rete (es: solo aziendale? anche per uso privato, ma con navigazione limitata in termini di siti/orari?)
- l’aggiornamento dei sistemi operativi e di tutti i software di protezione
- i cambi di password con cadenza frequente, obbligo di password forti, ecc.
- i sistemi di criptazione
- l’invio di documentazione in modalità sicura
- l’immediata cancellazione o segnalazione di email sospette
- il divieto di accesso a wi-fi free
- il divieto di collegamento di dischi esterni non approvati dall’azienda
- il log-out a fine attività
- la tutela della documentazione e delle informazioni, avendo cura di non divulgarle (anche ad esempio attraverso l’uso di PC in luogo in cui siano presenti estranei rispetto all’attività svolta; telefonate in cui si diffondano informazioni riservate; la conservazione sotto chiave di eventuale documentazione cartacea ecc.)
- l’adozione di adeguati sistemi di backup per garantire integrità, riservatezza, disponibilità dei dati
Alcune aziende private e anche alcuni enti pubblici hanno inserito nei propri regolamenti e/o delibere relativamente alla definizione di linee guida per l’attivazione del lavoro agile la possibilità di utilizzo di device privati.
Tale possibilità deve essere valutata con molta attenzione vista l’enorme difficoltà di gestione e i potenziali elevati rischi nei quali si può incorrere, sulla base di quanto visto fino ad ora.
Formazione e cultura degli incaricati
Prima di impartire ogni regola è necessario tuttavia fare cultura su quali sono i principi alla base di ogni comportamento, che sono anche i medesimi definiti dalla normativa privacy, ovvero: principi di necessità, pertinenza e non eccedenza nel trattamento dei dati, rispetto alle finalità perseguite e dichiarate.
I dati devono sempre essere esatti e se necessario aggiornati (pensiamo ai collaboratori che si occupano ad esempio di marketing e che hanno la necessità di accedere a database sempre aggiornati rispetto a eventuali consensi per evitare comunicazioni illecite); oppure pensiamo al trattamento dei dati dei lavoratori, che devono sempre essere aggiornati per permettere di dare adeguato riscontro a un eventuale esercizio dei diritti degli interessati.
E non dimentichiamo che ogni figura aziendale (interna o esterna) incaricata della sicurezza informatica e della protezione dei dati, con accesso ai medesimi, deve essere necessariamente nominata Amministratore di sistema e come tale deve essere monitorata in un sistema di registrazione di log, nel rispetto del Provv del 27/11/2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.
È necessario ricordare che la violazione dei dati, da parte di chiunque non autorizzato e nel rispetto dei principi sopra esposti, è sanzionata dal regolamento europeo rispetto a:
distruzione, perdita, modifica, divulgazione non autorizzata.
E che una violazione di riservatezza comporta per l’organizzazione una notifica di data breach.
Vuoi saperne di più sulla gestione della GDPR?
