Lo smart work, sempre più utilizzato, è certamente pratico ed innovativo, ma è conciliabile con la privacy e con le regole sui controlli a distanza?

Per capirlo vediamo anzitutto il contesto in cui si è inserita questa nuova forma di svolgimento del lavoro.

I numeri dello smart working

Secondo un’indagine Eurostat, solo il 42% degli italiani possiede competenze digitali, rispetto al 58% della media UE e al 70% della Germania.

Tuttavia, per l’Osservatorio del Politecnico di Milano, durante la primavera 2020 lo smart working ha interessato oltre 6,5 milioni di lavoratori. Il 90% di loro lo sperimentava per la prima volta. In precedenza, lo smart working era conosciuto solo da mezzo milione di italiani.

E si prevede che in futuro circa un terzo dei dipendenti lavorerà da casa, con formule diverse a seconda delle esigenze delle aziende.

Le attuali regole dello smart working

Lo smart working (in Italia detto anche “lavoro agile”, regolato dalla L. 81/2017), dall’inizio della pandemia segue un regime “straordinario”. Pertanto, per attuarlo non sono richieste particolari formalità. È infatti sufficiente la comunicazione telematica al Ministero del Lavoro e delle Politiche Sociali dei nominativi dei lavoratori e della data di cessazione dello smart working.

Nel lavoro privato i datori lo potranno applicare (fino al termine dello stato di emergenza e comunque non oltre il 31 marzo 2021) a ogni rapporto di lavoro subordinato, anche in assenza degli accordi individuali, con tale procedura semplificata.

Nel lavoro pubblico, lo smart work (ne abbiamo parlato in relazione al POLA – Piano Operativo Lavoro Agile) è stato prorogato al 30 aprile 2021.

Chiaramente, però, tale forma di lavoro non deve andare a discapito:

  • delle garanzie dei lavoratori (tra di esse ricordiamo in particolare il diritto alla disconnessione, al centro di ampi dibattiti e discussioni);
  • della protezione dei dati personali e della privacy.

Smart work e controlli a distanza

È evidente che la “delocalizzazione” dei lavoratori derivante dallo smart work stride con la sorveglianza della loro attività. Il datore può certamente verificare (direttamente o attraverso la propria struttura gerarchica) che l’attività lavorativa sia svolta regolarmente e adempiendo ai vari obblighi.

Vige però un divieto molto stringente: non sono consentire forme di controllo del lavoratore dipendente che non siano motivate da determinate ragioni (art. 4 dello Statuto dei lavoratori, L. 300/1970). Sul posto di lavoro sono di conseguenza vietati strumenti di videosorveglianza e altri accorgimenti finalizzati a controllare i lavoratori. Il loro uso va autorizzato, oppure deve seguire ad accordi con parte lavoratrice.

Pertanto, solo se sussistono le esigenze contemplate dallo Statuto il datore può monitorare lo smart worker tramite gli strumenti di lavoro per verificare che adempia ai suoi obblighi, con possibili conseguenze anche disciplinari (ne abbiamo parlato anche in questo articolo).

La legge vieta e sanziona i controlli effettuati in modo generalizzato, indiscriminato e non riconoscibile dai lavoratori (controlli c.d. “occulti”). Sulla stessa linea anche il Garante della Privacy con un provvedimento del 2016.

Ai sensi dell’art. 4, non servono autorizzazioni quando si tratti di dispositivi assegnati proprio allo scopo di lavorare da remoto, o anche personali ma che datore e lavoratore abbiano concordato di utilizzare.

La ricerca di un equilibrio: l’obbligo di informare il lavoratore

Spesso però non è semplice distinguere ciò che è strumento di lavoro e ciò che non lo è.

Il datore non può monitorare sistematicamente l’attività del lavoratore, e pertanto gli è vietato usare software o dispositivi (es. webcam) finalizzati, ad esempio, a capire se lo smart worker stia lavorando oppure no.

Poi, alcuni elementi (accesso alle mail, software in grado di registrare i tasti premuti o i movimenti del mouse, tracciamento della cronologia, geolocalizzazione), richiedono molta cautela. Il tema dei rischi derivanti dall’adozione di tecnologie che permettano di tracciare il lavoratore è stato oggetto di uno studio in sede europea del 2017.

Dunque come regolarsi?

Fondamentale è che il lavoratore riceva una informativa sulle modalità d’uso degli strumenti e sull’effettuazione dei controlli. In assenza di tale informativa il datore violerebbe anzitutto le regole sulla Privacy. E sarebbero illegittimi gli eventuali provvedimenti disciplinari presi a fronte di informazioni raccolte tramite controlli a distanza.

Senza considerare che i dati eventualmente acquisiti non sarebbero utilizzabili. Lo ha chiarito nel 2015 il Ministero del Lavoro e delle Politiche Sociali: qualora il lavoratore non venga adeguatamente informato sui controlli, i dati raccolti non sono utilizzabili a nessun fine, nemmeno disciplinare.

Smart work e privacy

Anche con riguardo alla privacy lo smart work impone delle cautele. Infatti l’applicabilità delle regole del GDPR non varia al variare della modalità di organizzazione del lavoro. Anzi!

Pensiamo ad esempio alla gestione di informazioni confidenziali (sia personali che dell’azienda).

Già in alcune Linee Guida del 2007 il Garante della Privacy ha ritenuto illecito l’accesso indiscriminato agli strumenti in dotazione al personale lavorativo. E ha stabilito che violano il Codice della Privacy e lo Statuto dei lavoratori i programmi che operano in background, non percepibili dai lavoratori, e che consentono una verifica costante e indiscriminata degli accessi degli utenti a rete e e-mail.

Gli obblighi del lavoratore

Precisi doveri incombono anche sul lavoratore.

Egli dovrà applicare determinate misure di sicurezza, anche fisiche.

Dovrà quindi accertarsi che il luogo scelto possa garantire le condizioni di riservatezza che assicurano i locali aziendali (ad esempio per la presenza di archivi fisici).

Lo smart worker dovrà poi utilizzare i device aziendali soltanto per rendere la prestazione lavorativa.

Dovrà poi informare, visto l’utilizzo di strumenti ICT aziendali (computer, smartphone, ecc.), anche l’amministratore di sistema, oltre a contattare il titolare del trattamento per qualsiasi dubbio, sospetto di incidente o di violazione che possa compromettere i dati aziendali.

Ulteriori regole per l’azienda: rendere l’informativa allo smart worker

Per un efficace e corretto smart work non basta osservare i consueti obblighi, e cioè:

  • non violare segreto e riservatezza delle informazioni trattate;
  • proteggere i dati dai rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito.

Occorre anche, come detto, fornire al lavoratore idonea informativa.

Il lavoratore deve essere sempre reso consapevole su quale sia l’ambito di trattamento consentito, e coinvolto nel rispetto delle regole sul segreto e sulla riservatezza delle informazioni trattate.

Pensiamo ad esempio a situazioni lavorative “pericolose” per la riservatezza dei dati: quando si lavora all’aperto, o con reti wi-fi aperte, o in trasferta. A tale ultimo proposito, un recente studio ha evidenziato che solo il 35% dei viaggiatori d’affari si sente sicuro di non compromettere dati aziendali durante le trasferte di lavoro (in Europa il 27%).

Ulteriori accorgimenti per l’azienda sensibile alla Privacy: la valutazione d’impatto

L’azienda, poi, deve minimizzare l’accesso ai dati personali del lavoratore.

I controlli, laddove legittimi secondo le leggi sul lavoro, devono essere “compliant” con data protection, trasparenza, necessità e progressività del trattamento.

A conferma di ciò, consideriamo che nell’elenco dei trattamenti da assoggettare a DPIA (valutazione d’impatto) sono stati inclusi dal Garante Privacy i “Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”.

Dunque la DPIA, obbligatoria o meno a seconda della singola realtà lavorativa, diventerebbe un ottimo esempio di accountability utile al datore per giustificare i controlli svolti.

L’importanza di fornire istruzioni, formare ed informare

Per uno smart work attento alla privacy, il titolare (o il responsabile) del trattamento dovrà adottare delle misure, meglio se in un vero e proprio “piano d’azione”. E, ovviamente, coinvolgendo il Data Protection Officer (DPO), se designato.

Tra queste:

  • adattare l’informativa ai lavoratori alla luce dei trattamenti connessi allo smart working;
  • istruire lo smart worker sulla sicurezza dei dati (art. 32 GDPR), e, in generale, fare formazione sugli strumenti utilizzati;
  • integrare il registro dei trattamenti (art. 30 GDPR) secondo le attività in smart working (e quindi: trattamenti, banche dati, strumenti, misure di sicurezza);
  • valutare la “capacità invasiva” degli strumenti di lavoro (dei quali abbiamo parlato anche qui) ai sensi del GDPR e dello Statuto, eventualmente sottoponendoli a valutazione d’impatto (art. 33 GDPR);
  • considerare di interpellare il Garante per una consultazione preventiva (art. 36 GDPR).

Last but not least, un buon datore si preoccuperà di aggiornare l’informativa ai fini della sicurezza del lavoro, in particolare per l’uso dei videoterminali.

 

infografica smart work privacy e controlli