Smart working, privacy e il principio di accountability

Il Decreto Legge n.11 del 23.11.2020 consente ai dipendenti delle aziende delle zone più colpite dal virus Covid19 di lavorare da casa grazie alla tecnologia digitale. Il Decreto del 1 marzo 2020, sostituito dal Decreto del Presidente del Consiglio dei Ministri del 04.03.2020, ha esteso questa modalità di lavoro a tutto il territorio nazionale. 

Lo smart working, altro non è che consentire al dipendente di lavorare da casa.

E’ necessario, però, rispettare particolari adempimenti in tema di sicurezza dei dati personali in merito all’utilizzo dei BYOD (Bring your own device) ossia degli strumenti di lavoro di cui è dotato il lavoratore (smartphone, tablet, pc).

Il recentissimo Decreto nulla dice in merito agli adempimenti da adottare in tema di sicurezza dei dati personali e l’utilizzo dei device aziendali.

La modalità “smart working” (o lavoro agile), introdotta dalla Legge n.81 del 2017, necessita di chiarimenti sulle modalità di svolgimento del lavoro da casa e sull’utilizzo degli strumenti lavoro per garantire la sicurezza dei dati personali.

Lo smart working, richiede un sapiente uso dell’innovazione digitale, una governance integrata e una grande evoluzione dei modelli organizzativi aziendali, dai quali, ovviamente, la privacy non può essere esclusa, anzi, ne è parte integrante.

Anche in questo caso ci viene in aiuto il GDPR e il principio di accountability: ogni titolare deve adottare delle misure di sicurezza atte a garantire il rispetto dei dati personali degli Interessati, siano essi clienti, dipendenti, fornitori ecc...

Essendo la tecnologia, inoltre, il presupposto dello smart working, è necessario fare riferimento alla cyber security ove miliardi di informazioni, di trasmissioni, di archiviazioni, di registrazioni, di consultazioni, ecc… viaggiano nell’etere. I dati personali, quindi, compresi quelli appartenenti a particolari categorie, potrebbero subire furti, perdite accidentali, accessi abusivi, diffusioni dolose o colpose e, anche in questo caso, la formazione dello smart worker tra le misure adeguate di sicurezza, predominerebbe la scena, poiché come prescritto dall’art.32 del Regolamento (oltre che dall’art.29): ”il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione Europea o degli Stati Membri”.

Non solo. Il principio di accountability impone l’adozione di un regolamento aziendale e di un codice etico per ogni Titolare e Responsabile, nel quale devono essere specificati gli strumenti di lavoro e le modalità di svolgimento dello smart working.

Non si può implementare quest’ultimo con frettolosi collegamenti da remoto effettuati su VPN (Virtual Private Network) verso i server aziendali o con misure fittizie di “sicurezza fai da te”.  Si pensi all’utilizzo dei propri device per svolgere l’attività lavorativa in totale assenza di misure tecniche di sicurezza e alla mancanza di codici etici, di regolamenti sulla sicurezza del sistema informativo e di regolamenti aziendali che devono essere messi a disposizione e a conoscenza del lavoratore.