Smartworking tra data security e tutela della privacy. Una miniguida per HR responsabili
È notizia dei primi giorni dell’anno: lo smartworking potrebbe diventare una modalità di lavoro strutturale. Come riporta SkyTG24, quando lo smartworking emergenziale terminerà, per il 16% della forza lavoro italiana il lavoro agile si potrebbe prospettare come principale modalità di erogazione della prestazione lavorativa possibile in futuro. Al punto che, riporta il sito di informazione, si comincia ad ipotizzare un bonus spese per chi lavora da casa al fine di compensare la mancanza di buoni pasto e altri benefit previsti dal proprio contratto.
Come abbiamo imparato nell’ultimo anno, lo smartworking richiede, sia da parte dell’azienda sia da parte del personale, competenze digitali adeguate e modelli organizzativi capaci di gestire le relazioni a distanza nonché l’incredibile mole di dati generata da questa modalità di lavoro. Su due fronti: quello della data security, lato azienda, e quello della privacy, disciplinato dal GDPR.
Data security e privacy nello smartworking: il quadro generale
Lo smartworking è stata la soluzione adottata dalla maggior parte delle organizzazioni in tutto il mondo per garantire la propria continuità operativa durante la pandemia di Covid-19. Nell’ultimo anno, quasi il 20% della forza lavoro italiana ha lavorato da casa, sperimentandone i pro e i contro. Ma se i primi DPCM, non prevedevano l’attuazione completa delle normative, in particolare in materia di data security e privacy, intendendo lo smartworking come strumento di emergenza, verosimilmente a partire dalla fine del mese di aprile 2021, tutte le organizzazioni potrebbero dover adeguare in toto le proprie procedure di smartworking a quanto previsto dalla legge.
Non senza difficoltà. Passare infatti dallo smartworking emergenziale a quello strutturale, richiederà una nuova evoluzione organizzativa e l’adempimento di pratiche previste dalla legge, in particolare il GDPR. Sebbene il trend sullo stato di adeguamento al regolamento sulla protezione dei dati italiano possa essere considerato positivo, le aziende e le organizzazioni italiane sono ancora caratterizzate da alcuni limiti: secondo una recente analisi svolta dall’Osservatorio Digital Innovation del Politecnico di Milano, infatti, molte aziende italiane registrano ancora delle difficoltà nell’individuazione dei ruoli e delle responsabilità secondo gli standard definiti all’interno del Regolamento; altre ancora segnalano un rallentamento significativo nelle attività quotidiane. Inoltre, le competenze digitali di base della popolazione italiana sono molto più basse rispetto alla media europea.
Check List: cosa avreste già dovuto fare
Dal primo DPCM, che indicava lo smartworking come possibilità per le organizzazioni in stato di emergenza, è quasi passato un anno. Si potrebbe giustamente pensare, che la maggior parte delle organizzazioni si sia ormai attrezzata per rendere le proprie procedure di lavoro agile conformi a quanto previsto dalla legge 81/2017 e al GDPR. In particolare, come riportato in numerosi contributi presenti sul sito dell’Agenda Digitale (https://www.agendadigitale.eu/) questi sono i punti che, se non lo sono già stati nell’ultimo anno, diverrà obbligatorio affrontare nei prossimi mesi:
1) Aggiornare il registro dei trattamenti, ai sensi dell’art. 30 GDPR, con i nuovi elementi dello smartworking (trattamenti, banche dati, strumenti, esternalizzazioni, misure di sicurezza ecc.);
2) Valutare, ai sensi del GDPR e dello Statuto dei Lavoratori, il potenziale invasivo di eventuali sistemi di monitoraggio del personale, eventualmente sottoponendoli a valutazione d’impatto DPIA;
3) Integrare l’informativa ai lavoratori alla luce di eventuali nuovi trattamenti connessi allo smartworking, in materia di data security e privacy;
4) Valutare l’ambito di autorizzazione della persona in smartworking secondo il principio del need to know;
5) Intraprendere specifiche iniziative di formazione a favore del personale;
6) Verificare che le soluzioni informatiche sviluppate internamente per consentire lo svolgimento del lavoro a distanza siano conformi ai principi di privacy e garantiscano la sicurezza dei dati;
7) Verificare la conformità al GDPR delle soluzioni o piattaforme fornite da terzi, valutando eventuali Data Processing Agreement, come previsto dall’art. 28 del regolamento.
Tra sicurezza e controllo: cosa dice la legge
Quindi, progettare uno smartworking strutturale prevede un’azione strategica che deve fare i conti con i ritardi del nostro Paese, con le novità introdotte dall’organizzazione del lavoro agile e con la tensione continua tra sicurezza dei dati, aziendali e personali, e controllo delle attività del dipendente. La legge 81/2017 che disciplina lo smartworking non fornisce prescrizioni in merito, ma si limita , a richiamare il rispetto dell’articolo 4 dello Statuto dei Lavoratori (art. 21) che vieta il controllo a distanza dei lavoratori se non in presenza di determinate e giustificate motivazioni, di carattere organizzativo e produttivo, di sicurezza del lavoro e di tutela del patrimonio aziendale, comprensivo degli strumenti aziendali in dotazione alla persona in smartworking.
In questa tensione, la trasparenza, ovvero uno dei pilastri del GDPR, gioca un ruolo fondamentale. Prima di implementare qualsiasi soluzione che consenta forme di controllo delle attività svolte in lavoro agile, il datore di lavoro deve valutare che l’utilizzo della tecnologia sia conforme a quanto previsto dall’articolo 4 dello Statuto dei Lavoratori e il suo eventuale impatto attraverso una valutazione; qualora tale DPIA evidenzi un rischio elevato per i diritti e le libertà dei lavoratori, e si voglia comunque procedere con la sua implementazione, sarà necessario procedere da un lato a interpellare il Garante tramite lo strumento della consultazione preventiva (art. 36 del GDPR) e dall’altro informare i lavoratori e le lavoratrici sul funzionamento della tecnologia, sulle modalità di controllo e su eventuali opzioni a sua disposizione. L’accordo individuale tra azienda e dipendenti torna a essere centrale, come già stabilito dalla legge 81/2017.
Tre strategie da attivare subito
Il primo passo da fare è allora sicuramente quello di rafforzare la consapevolezza e le competenze della persona in smartworking. Se anche, infatti, la persona sarà autorizzata a eseguire da casa i medesimi trattamenti di dati che è abituata a svolgere in ufficio, è necessario in ogni caso che il datore di lavoro dia informazione certa su quale sia l’ambito di trattamento consentito. Questo significa non solo che il lavoratore e la lavoratrice diventano consapevoli e responsabili delle scelte di mezzi, operazioni, procedure e finalità in materia di trattamento dei dati, ma anche che devono essere in grado di dare conto delle valutazioni svolte alla base delle scelte operate. Perché questo avvenga, è necessario inoltre che i membri dell’organizzazione ricevano una formazione adeguata allo sviluppo delle proprie competenze digitali.
Il secondo passo è disporre procedure per la protezione della postazione di lavoro e degli strumenti in dotazione alla persona che lavora in smartworking, siano essi di proprietà aziendale o personale. Già dalla sua prima introduzione emergenziale, lo smartworking ha fatto emergere con chiarezza le disuguaglianze sociali presenti nel nostro Paese: chi non ha una casa con la possibilità di adibire uno spazio esclusivo al lavoro, chi non ha una connessione internet sufficiente, ha condiviso la sua condizione di smartworker con chi, al contrario, poteva permettersi di lavorare dalla seconda casa al mare o nel proprio studio privato, al riparo da occhi e orecchie indiscrete. Tutti elementi che, in materia di data security e privacy, sono indicati come fondamentali, lato azienda e lato personale. Negli ultimi nove mesi, le persone in smartworking hanno ormai trovato la propria modalità e hanno imparato a proteggere i dati aziendali grazie a piccoli accorgimenti, come l’utilizzo delle cuffie durante le riunioni o a organizzare la propria postazione di lavoro in maniera efficiente e a prova di rischio.
Infine, anche le aziende hanno imparato e devono continuare a fare la propria parte. Anzitutto, lo ripetiamo, esercitando i due pilastri del GDPR, la trasparenza nelle informazioni e nelle attività di controllo, e l’accountability, che rende i collaboratori e le collaboratrici consapevoli di tali attività e responsabili in prima persona nelle procedure. Inoltre, è necessario che le organizzazioni si adoperino per adeguare i propri sistemi informatici a sostenere, in maniera sicura, connessioni e trasmissioni da remoto; e, allo stesso modo, investano sulla formazione delle persone per aumentare le competenze digitali, anche a tema cyber e data security.
Vuoi avere un’idea più chiara su come e dove investire il tuo budget nel 2021? Leggi questo articolo:
