Dati da proteggere nel lavoro agile
Conciliare il lavoro “agile”, fuori dai locali dell’azienda, con la protezione dei dati (a volte riservati) che l’azienda mette a disposizione del lavoratore.
È una delle esigenze che si manifestano dopo l’entrata in vigore del Regolamento europeo 2016/679, che ha armonizzato le discipline degli Stati sulla privacy e ha introdotto nuove tutele. Sarà necessario, infatti, far coesistere due esigenze contrapposte:
da un lato, il lavoro agile o smart working è utile per potenziare la competitività e conciliare i tempi di vita privata e vita professionale dei lavoratori;
dall’altro lato, si presta a un incremento esponenziale dei rischi per il trattamento e, quindi, per la sicurezza dei dati delle aziende.
Il cosiddetto smart worker, infatti, con l’uso di strumenti tecnologici, entra in contatto quotidianamente con i database aziendali, con le informazioni relative ai clienti e, spesso, con dati sensibili. Il tutto, peraltro, avviene talvolta all’interno della propria abitazione, ma spesso anche in luoghi pubblici, con una moltiplicazione delle possibili minacce alla riservatezza.
Quali soluzioni è chiamato a individuare il datore per potersi avvalere del lavoro agile nel pieno rispetto della normativa ed evitare sanzioni?
Nonostante il Regolamento europeo sulla protezione dei dati personali non individui adempimenti specifici sullo smart working, dall’approccio generale adottato sui dati trattati con strumenti informatici è possibile trarre alcune considerazioni.
Il ruolo del Dpo
In primo luogo, un ruolo fondamentale sarà svolto dal Dpo (data protection officer). Il Responsabile della protezione dei dati nominato dall’azienda dovrà, infatti, prestare attenzione alla configurazione di un sistema di gestione dati che tenga in debita considerazione la presenza di lavoratori a distanza e, con ciò, moderare e, possibilmente, limitare la condivisione delle informazioni allo stretto necessario per l’esecuzione della prestazione (si veda il principio di minimizzazione dei dati ex articolo 5 del regolamento 2016/679). Il Dpo sarà anche chiamato a istruire adeguatamente lo smart worker sull’uso corretto degli strumenti e, appunto, sui molteplici rischi.
Autenticazione a due vie
Sarà opportuno dotarsi di un sistema di autenticazione a due fattori, ossia un meccanismo che consenta al lavoratore di accedere ai dati non solo con la digitazione di una password ma anche con un passaggio identificativo ulteriore. Ciò consente, in particolare, di scongiurare illeciti accessi di terzi, anche in caso di furti o smarrimento del dispositivo utilizzato dallo smart worker. Lo stesso meccanismo dovrà, poi, permettere al datore di lavoro di riconoscere con precisione - a livello centralizzato - l’identità del lavoratore che abbia effettuato l’accesso e che sia dotato di autorizzazione. In base all’articolo 4 del Regolamento 2016/679, il dipendente deve essere preventivamente individuato quale «persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile», nel rispetto degli obblighi (già previsti dal Dlgs 196/2003) gravanti sull’incaricato del trattamento.
La sicurezza dei dispositivi
Sarà inoltre necessario garantire la sicurezza dei dispositivi che, nonostante l’uso al di fuori dei locali dell’azienda, rappresentano a tutti gli effetti strumenti di lavoro. In particolare, sia nel caso in cui questi siano offerti al lavoratore in dotazione (direttamente dal datore) sia ove lo smart worker utilizzi dispositivi propri, non c’è dubbio che questi debbano essere configurati in modo tale da prevenire possibili abusi e, quindi, con un adeguato software antivirus, certificati per connessioni cifrate, dotati di un meccanismo di backup periodico e di sistemi di comunicazione diretta con il server centrale aziendale. Ciò vale sicuramente per i Pc portatili, ma anche per tablet e smartphone.
Accesso limitato ai dati
Sempre in considerazione del principio di minimizzazione dei dati, poi, parrebbe opportuno che l’azienda si dotasse di un sistema per impedire allo smart worker di visualizzare ed entrare in contatto con le informazioni in possesso dell’azienda non pertinenti con lo svolgimento delle proprie mansioni e, quindi, estranee ai propri compiti.
Ulteriori e più efficaci soluzioni potranno– e dovranno - essere individuate, come detto, da piani gestionali ad hoc messi a punto dai Dpo, ovvero da adempimenti richiesti di volta in volta dalle pronunce del Garante della privacy. Le scelte qui richiamate possono prestarsi a rappresentare un modello di accorgimenti di base utili a dimostrare una tendenziale aderenza della policy aziendale alle prescrizioni del Regolamento Ue.
