Le misure attuate dal Governo per la nostra sicurezza impongono a tutti i datori di lavoro di consentire, nei limiti del possibile, lo svolgimento della prestazione lavorativa in modalità di lavoro agile o c.d. smart working. L’implementazione del lavoro agile, il cui valore è sempre stato sottostimato nel nostro Paese, incoraggiata al fine di arginare l’avanzata del Covid-19, dovrà tenere sempre in considerazione tutti gli opportuni adempimenti circa il trattamento dei dati personali da dover rispettare.
Restando ferme tutte le norme relative alla salute e alla sicurezza nel lavoro agile ai sensi dell’art. 22, co. 1, Legge 81/2017 “misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato” , sarà necessario provvedere a un ulteriore integrazione con l’informativa relativa al trattamento dei dati personali per il lavoratore che effettua la propria prestazione in predetta modalità.
Smart working, cosa prevede il GDPR
Il Regolamento 2016/679 (GDPR) prevede la figura dell’incaricato facendo riferimento a “persone autorizzate al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile” (art. 4, n. 10 GDPR). Con il termine trattamento si fa riferimento a una qualunque operazione effettuata sui dati, svolta con o senza l’ausilio di mezzi automatizzati e che abbia come oggetto una delle operazioni indicate dall’art. 4, c. 2, GDPR. Il trattamento comprende l’intera vita del dato personale e, di conseguenza, saremo in presenza di un trattamento di dati personali sia nel caso in cui vengano utilizzati mezzi elettronici o comunque automatizzati, sia altri mezzi che richiedono l’esclusivo apporto umano. Il GDPR al riguardo dispone infatti di “fornire agli autorizzati (incaricati ndr) le istruzioni operative, compreso gli obblighi inerenti le misure di sicurezza, e che sia fornita loro la necessaria formazione”.
I device aziendali forniti dal datore di lavoro
Nel caso in cui siano datori di lavoro a fornire ai propri dipendenti in lavoro agile i device mediante i quali gli stessi potranno fornire la propria prestazione lavorativa, si potrà sin dal principio garantire un buon livello di sicurezza durante il trattamento del dato personale presupponendo che il datore di lavoro abbia implementato il device con gli opportuni applicativi e programmi GDPR-compliance.
Infatti, il device aziendale (comprensivo di tutti i software e applicativi in esso installati dalla società o dal lavoratore, previa autorizzazione del responsabile) costituirà, ai sensi e per gli effetti dell’art. 4 della l. 300/1970, strumento per rendere la prestazione lavorativa e, di conseguenza, le relative informazioni da esso ricavabili potranno essere utilizzate a tutti i fini connessi al rapporto di lavoro.
A tal fine, bisogna rinviare integralmente alla regolamentazione aziendale dettata in materia di uso degli strumenti di lavoro e disciplina dei controlli, nonché all’informativa ex art. 13 del Regolamento Europeo (UE) 2016/679 e del d.lgs. 196/2003, come modificato dal d.lgs. 101/2018 in materia di protezione dei dati personali. Qualora, durante la prestazione lavorativa resa in regime di lavoro agile, si verifichino problemi di natura tecnica, il lavoratore sarà tenuto a comunicarlo tempestivamente al suo responsabile al fine di concordare le modalità di gestione dei relativi problemi di natura tecnica.
Profilo contenutistico del documento fornito allo smart worker
Sotto il profilo squisitamente contenutistico, del documento che sarà fornito al lavoratore (talvolta in uno al device) e, più precisamente, alle disposizioni cui il lavoratore stesso dovrà attenersi nello svolgimento della propria prestazione in modalità di lavoro agile.
Il documento fornito allo smart worker dovrà prevedere, tra le altre cose, che:
• il trattamento dei dati dovrà essere effettuato in modo lecito e corretto;
• i dati personali dovranno essere raccolti e registrati unicamente per finalità inerenti l’attività svolta;
• sarà necessaria la verifica costante dei dati e il loro aggiornamento;
• dovranno essere rispettate le misure di sicurezza predisposte dal titolare, riportate nel regolamento adottato;
• i trattamenti che saranno consentiti all’incaricato saranno quelli riportati nella nomina ad incaricato e l’eventuale aggiornamento di tali trattamenti potrà essere comunicato a parte, di volta in volta dal titolare e/o responsabile;
• gli incaricati non potranno eseguire operazioni di trattamento per finalità non previste tra i compiti loro assegnati dalle presenti istruzioni; analogamente, le operazioni di trattamento potranno essere effettuate unicamente sui dati sui quali si è autorizzati all’accesso, nel corretto svolgimento dei compiti cui si è preposti;
• l’accesso ai dati personali dovrà essere limitato esclusivamente ai dati che sono strettamente necessari per adempiere ai compiti assegnati;
• l’uso delle apparecchiature informatiche (fornite dal datore di lavoro) dovrà essere permesso soltanto per far sì che il lavoratore fornisca la propria prestazione lavorativa.
A ogni modo, al lavoratore in modalità di lavoro agile restano in capo tutti gli obblighi relativi alla riservatezza nel trattare i dati personali, dovendo quindi garantire la massima riservatezza delle informazioni di cui viene in possesso, astenendosi dal porre in essere attività di divulgazione non autorizzata. Dovranno inoltre essere riportate le regole di ordinaria diligenza:
- se il lavoratore dovesse abbandonare temporaneamente la propria prestazione domestica, dovrà provvedere a non far accedere ai non addetti ai lavori (anche familiari) ai luoghi in cui siano presenti informazioni riservate o dati personali, prevedendo l’utilizzo di screen-saver;
- a ogni lavoratore che fornisce la propria prestazione lavorativa in modalità di lavoro agile verrà fatto assoluto divieto di utilizzare altri device che non siano quelli forniti dall’azienda;
il lavoratore
- dovrà riporre in cassetti dotati di serratura funzionate, la documentazione cartacea eventualmente presente sul luogo di lavoro;
- il lavoratore non dovrà rivelare password in nessun modo e dovrà accedere ai soli dati strettamente necessari all’esercizio delle proprie mansioni;
- non dovrà fornire telefonicamente o a mezzo fax dati e informazioni ai diretti interessati, senza avere la certezza della loro identità.
Circa le misure di sicurezza, il personale dotato del device fornito dallo stesso datore di lavoro godrà quindi di uno strumento dotato di dispositivi appositamente predisposti, con applicativi pronti per la fruizione remota, e dispositivi telefonici virtuali (su software) adeguati allo scopo.
Conclusioni
Corollario di tale modalità di lavoro sarà quella di dover richiedere un maggior grado di responsabilizzazione sia al datore di lavoro, che dovrà dotare il device fornito di tutti i presidi necessari alla sicurezza, sia al lavoratore che dovrà scrupolosamente attenersi alle indicazioni fornite dal datore di lavoro, titolare del trattamento dati.