Dopo anni di dibattiti e scarsa applicazione pratica, l’emergenza Covid-19 ha reso lo smart working la nuova – tristemente obbligata – realtà per migliaia di aziende e lavoratori.
Realtà che, peraltro, pare destinata a durare: con tutta probabilità, anche nella cd. “Fase 2” dell’emergenza, il lavoro da remoto rimarrà una delle principali misure obbligatorie o, quantomeno, fortemente consigliate, per il contrasto alla diffusione del virus.
In tale contesto, sebbene l’adattamento alla nuova situazione sia per molti inevitabilmente traumatico, accidentato e non privo di improvvisazioni, non bisogna perdere di vista le criticità che il lavoro da remoto pone sul piano della cybersecurity e della privacy, in particolare laddove il lavoratore acceda ai dati aziendali mediante propri dispositivi personali o software di dubbia provenienza ed affidabilità.
Se una catena è forte quanto il suo anello più debole, è evidente come anche il più solido sistema di sicurezza informatica possa essere messo a repentaglio dall’apertura a computer, tablet e smartphone esterni alla rete aziendale, per di più se originariamente destinati ad un uso personale e privato da parte del lavoratore.
È importante, quindi, che l’infrastruttura informatica dell’azienda venga ripensata alla luce della nuova modalità lavorativa, assicurando soluzioni tecniche ed organizzative volte ad evitare la perdita, l’alterazione e l’accesso abusivo ai dati informatici. Qualora lo smart working non possa avvenire mediante adeguati strumenti forniti direttamente dall’azienda, sarà quindi necessario, nel rispetto della riservatezza del lavoratore, verificare che i dispositivi del medesimo garantiscano comunque sufficienti livelli di sicurezza, fermo che dovrà permanere la consueta attenzione e cautela nel loro utilizzo – anche privato – per evitare attacchi informatici, frodi e perdite accidentali.
Quanto detto ha evidenti ripercussioni anche in ordine al trattamento dei dati personali. Se da un lato, infatti, il lavoro da remoto, di per sé, non necessariamente comporta l’introduzione di nuovi trattamenti da parte dell’azienda, dall’altro, potrebbe comunque incidere su quelli già esistenti, alterandone, in particolare, i profili di rischio.
È quindi importante valutare l’impatto della nuova organizzazione su ciascun trattamento di dati, redigendo, se del caso, la DPIA ed adottando tutte le misure tecniche ed organizzative necessarie a contenere i rischi.
Qualora, poi, il trattamento dei dati aziendali in smart working avvenga per il tramite di soggetti esterni (ad es. fornitori del remote desktop software, servizio cloud, ecc.), anche gli stessi dovranno assicurare adeguate garanzie di sicurezza, oltre a dover essere nominati responsabili del trattamento, ai sensi dell’art. 28 GDPR.
Nei rapporti tra azienda e lavoratore, poi, le informazioni raccolte mediante gli strumenti hardware e software impiegati nel lavoro da remoto potranno essere utilizzate dal datore di lavoro nei limiti ed alle condizioni di cui all’art. 4 dello Statuto dei Lavoratori, permanendo l’esclusione di qualsiasi forma di controllo sistematico ed indiscriminato del personale.
In conclusione, ferma l’applicabilità della disciplina di cui alla L. 81/2017, nella parte non derogata dai vari DPCM, è utile ricordare l’obbligo di rendere a ciascun lavoratore interessato ed al RLS l’informativa sulla salute e la sicurezza, anche mediante il modello reperibile sul sito dell’INAIL (https://www.inail.it/cs/internet/comunicazione/avvisi-e-scadenze/avviso-coronavirus-informativa.html), nonché di dare comunicazione al Ministero del Lavoro dell’attivazione del lavoro agile, mediante la procedura semplificata presente nel relativo sito istituzionale (https://servizi.lavoro.gov.it/ModalitaSemplificataComunicazioneSmartWorking/).