Smart working e GDPR: come si coniugano i due aspetti

Si può lavorare in smart working rispettando i principi ed i dettami del GDPR? Certamente sì, a patto che sia i dipendenti che i datori di lavoro conoscano le regole del gioco.

Del resto, con la diffusione dello Smart Working in Italia con il Covid-19, molti lavoratori della pubblica amministrazione e del comparto privato hanno cominciato a svolgere la prestazione lavorativa lontano dagli uffici e dalle sedi tradizionali.

Nonostante in Italia la legge sul lavoro agile fosse presente già da qualche anno, come era facile prevedere, non tutti gli addetti ai lavori erano preparati. Ciò in quanto fino ad ora, tranne in rare circostanze, non si era mai presa in considerazione l’ipotesi di un modello di lavoro differente.

Smart Working e rischi per i dati personali

Non si può ignorare il fatto che lo smart working presenti dei rischi. Questi sono legati alla sicurezza dei sistemi, dei dati dei dipendenti e di quelli dei cittadini. Soprattutto la Pubblica Amministrazione, ma anche diverse aziende private, trattano ogni giorno tantissime tipologie di dati relativi all’utente finale, molti dei quali molto delicati (come, per esempio, quelli sulla salute).

Vi è, dunque, la necessità di proteggere i dati personali da perdite accidentali, furti, accessi abusivi nonché diffusioni dolose o colpose. Nelle Pubbliche Amministrazioni un ruolo importante, in tal senso, è svolto dal Responsabile della Transizione al Digitale il quale, secondo quanto previsto dal Codice dell’Amministrazione Digitale, ha competenze in materia di monitoraggio e pianificazione della sicurezza informatica.

Da non sottovalutare è, inoltre, la figura del DPO (Data Protection Officer), istituita proprio dal GDPR e che si occupa della protezione dei dati. I suoi compiti spaziano dalla verifica dell’adeguatezza delle misure di sicurezza all’analisi del rischio, dalla cooperazione con le autorità di controllo alla formazione e sensibilizzazione del personale che si occupa del trattamento.

Ricordiamo che il DPO deve essere nominato dal Titolare o dal Responsabile del Trattamento e che è necessario mettere a conoscenza dell’avvenuta nomina anche l’Autorità Garante. Questa figura, infine, può essere sia interna che esterna all’azienda.

Il GDPR come regolamenta il lavoro da casa?

Va chiarito che all’interno del GDPR non esiste un articolo o un riferimento specifico al lavoro agile. Le disposizioni in esso contenute valgono indipendentemente dal luogo fisico in cui si svolge la prestazione di lavoro. Va da sé, però, che alcuni princìpi contenuti nel GDPR possono essere contestualizzati allo smart working.

In primo luogo, è necessario che il lavoratore riceva apposito incarico rispetto alla tipologia di dati che va a trattare. Qualora al dipendente vengano fornite apparecchiature particolari per lo svolgimento della prestazione, è necessario che egli venga adeguatamente formato già prima di cominciare ad utilizzarle.

Il lavoratore, dal canto suo, si impegna a garantire un uso appropriato delle attrezzature concesse dall’azienda. In caso contrario, infatti, potrebbe ritrovarsi a dover rispondere della violazione delle direttive aziendali. Spetta sempre al lavoratore custodire strumenti e documenti vari in luoghi sia fisici che virtuali appropriati. Deve, inoltre, assicurarsi che non vi sia alcuna possibilità, per soggetti terzi non autorizzati, di accedere a tali dati ed informazioni.

Ovviamente, chi lavora in smart working ha il compito di contribuire alla produttività aziendale in un modo pressoché simile, se non migliore, rispetto al lavoro svolto in sede. In tale contesto, è chiaro che il datore di lavoro deve avere l’opportunità di monitorare costantemente lo smart worker.

lavorare in smart working in linea con le regole della GDPR e della privacyCome arginare i rischi?

Sono diverse le precauzioni che un lavoratore in smart working deve assumere allo scopo di lavorare in un contesto altamente sicuro.

Andrebbe, innanzitutto, chiarito se i dispositivi da utilizzare per lavorare in modalità agile debbano essere quelli di proprietà del lavoratore o, al contrario, se spetti all’azienda fornirli. Una volta stabilito questo punto, è importante che l’utente non inserisca dati aziendali utilizzando device differenti rispetto a quelli autorizzati dal datore di lavoro.

Se non strettamente necessario ai fini dello svolgimento della mansione lavorativa, bisognerebbe evitare di fare l’accesso ai social network durante il lavoro. Il rischio di attacchi da parte degli hacker è sempre dietro l’angolo. In ogni caso, è bene cautelarsi ricorrendo a misure avanzate di sicurezza (l’autenticazione a due fattori, per esempio).

Allo stesso modo, a livello di connettività, è fondamentale collegarsi solo ed esclusivamente a reti considerate sicure. In presenza di dispositivi forniti dall’azienda, va evitato l’accesso alla posta elettronica privata nonché il download di app e software per un uso privato o, comunque, non autorizzati dall’azienda.

In generale, ogni azienda, sia del settore pubblico che del settore privato, deve preoccuparsi di formare adeguatamente il personale che lavorerà in smart working. Solo così sarà possibile assicurare livelli di sicurezza sufficientemente elevati sia per le aziende che per i lavoratori nonché per cittadini ed utenti.