Covid19

Smart working: di necessità virtù – le regole a tutela della privacy

| 07/04/2020 12:59

a cura dell'avv. Massimo Maioletti Partner - Head of Data Protection EVERSHEDS SUTHERLAND


L'epidemia in corso e le misure restrittive adottate per il suo contenimento hanno innescato il primo vero e proprio spontaneo esperimento a livello mondiale di ricorso allo smart working, quasi svegliando da un torpore le aziende di tutto il mondo le quali - forse talvolta per pregiudizi culturali o semplice inerzia e salvo qualche eccezione - non avevano sino ad oggi considerato realmente di cogliere a livello sistematico tale opportunità.

Prescindendo in questa sede da qualsivoglia valutazione sugli indubbi benefici di tale modalità di lavoro e sull'opportunità di incentivare tali pratiche anche una volta usciti dall'attuale crisi emergenziale, è necessario fare qualche riflessione sulle criticità connesse alla sua implementazione dal punto di vista privacy.

In Italia imprese e pubblica amministrazione si sono trovate improvvisamente a doversi organizzare. Ciò è stato fatto ovviamente sull'onda dell'urgenza e purtroppo, nella maggior parte dei casi, nell'inconsapevolezza - sia da parte dei datori di lavoro che dei lavoratori - dei rischi connessi all'implementazione di tale modalità di lavoro, in assenza di appropriate procedure e misure di sicurezza.

In realtà la normativa in materia di protezione dei dati personali dettata dal Regolamento europeo 679/2016 (GDPR) impone al datore di lavoro di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza dei dati trattati adeguato al rischio e gravità per i diritti e le libertà delle persone fisiche e tenendo conto dello stato dell'arte, dei costi di attuazione e del contesto e finalità del trattamento.

Sebbene tale principio dovrebbe ormai essere ben conosciuto ed applicato da tutti al fine di garantire la sicurezza dei dati in azienda, è innegabile che per la maggior parte delle imprese e pubbliche amministrazioni sino ad oggi non organizzate per consentire il lavoro del proprio personale da remoto, non vi è stato neanche il tempo per condurre un'appropriata analisi dei rischi e implementare misure tecniche ed organizzative atte a proteggere i propri dati e tutelare i dati del proprio personale.

In molti casi, infatti, sono stati predisposti in via d'urgenza sistemi di collegamento a distanza improvvisati, spesso comportanti l'uso di dispositivi informatici diversi da quelli aziendali e di proprietà dei dipendenti o addirittura loro familiari e, dunque, potenzialmente inappropriati in quanto sprovvisti di sistemi operativi aggiornati e misure di sicurezza adeguate. Nella maggior parte dei casi poi al personale è stato dato accesso a detti sistemi senza alcuna specifica istruzione sul relativo utilizzo e sulle misure di sicurezza anche di tipo organizzativo da rispettare.

In tutti questi casi l'avvio di procedure non strutturate di smart working può aver comportato - anche per le aziende e pubbliche amministrazioni più virtuose in termini di implementazione di misure sicurezza – una potenziale falla nei relativi modelli di sicurezza che, seppur idonei in un sistema chiuso a fornire protezione avverso possibili violazioni di dati e informazioni, con l'apertura verso l'esterno tramite connessioni non sufficientemente sicure, rischia di vanificare ogni capacità preventiva dei modelli stessi.

Ebbene considerata l'indubbia utilità sperimentata in questo periodo di consentire l'attività lavorativa da remoto e nell'ottica continuare ad avvalersi di tale opportunità, le aziende e le pubbliche amministrazioni devono immediatamente interrogarsi su come tale organizzazione del lavoro debba strutturarsi.

Le questioni principali delle quali si dovrà tenere conto sono sostanzialmente due: la sicurezza dei dati e la gestione del personale, che dovrà avvenire nel rispetto delle garanzie previste dallo Statuto dei Lavoratori.

Per quanto attiene alla sicurezza, ciascun datore di lavoro che intenda proseguire con l'utilizzo di modelli di smart working o avviare detti modelli deve procedere con un'attenta analisi dei rischi che permetta di valutare sia quelli privacy, riguardanti i dati personali e i relativi interessati, che quelli connessi ad un'eventuale perdita, perdita d'integrità e/o accesso non autorizzato ad altre informazioni aziendali strategiche. Ciò al fine di poter identificare adeguate misure di sicurezza tecniche ed organizzative per eliminare o quanto meno ridurre detti rischi.

In proposito, anche considerato che tali modelli non possono prescindere dall'utilizzo di nuove tecnologie, sarà necessario valutare l'opportunità di condurre anche una valutazione d'impatto sulla protezione dei dati, il cui esito agevolerà la verifica dell'adeguatezza delle misure implementate e l'individuazione delle eventuali ulteriori da porre in essere.

Ovviamente non esiste un'elencazione specifica di dette misure ma le medesime andranno valutate caso per caso. Certamente però - anche alla luce dei provvedimenti sanzionatori emessi recentemente da diverse autorità europee in merito all'adeguatezza delle misure di sicurezza – si può qui di seguito accennare alle principali e basilari misure di cui si deve tenere conto.
Innanzitutto, dal punto di vista tecnico, le connessioni da remoto dovrebbero essere effettuate tramite protocolli che consentano la criptazione dei dati. La trasmissione dei dati in chiaro, infatti, consentirebbe facilmente la loro lettura da parte di terzi non autorizzati.

Ciascun utente autorizzato allo smart working, dovrebbe accedere al sistema tramite proprie credenziali di autenticazione che consentano al medesimo unicamente l'accesso ai dati e a informazioni riservategli.

I dispositivi attraverso i quali consentire l'accesso dovrebbero essere preferibilmente quelli forniti dal datore di lavoro con sistemi operativi aggiornati e adeguate misure di sicurezza, come antivirus e firewall. Viceversa, laddove ciò non sia possibile o si preferisca consentire l'accesso attraverso dispositivi propri del lavoratore, sarà necessario implementare adeguate policy BYOD ("Bring Your Own Device") attraverso le quali determinare i livelli di sicurezza che detti dispositivi dei dipendenti dovranno avere e le relative modalità di utilizzo. Tali policy potrebbero peraltro auspicabilmente prevedere l'installazione di software di segregazione dei dati e delle informazioni, in modo da evitare qualsivoglia indebita commistione tra i dati aziendali e quelli privati.

Ferme le suddette misure tecniche, ulteriori misure di tipo organizzativo devono esser assunte per mitigare i rischi per la privacy delle persone - anche mediante integrazione delle policy aziendali eventualmente già in vigore - prevedendo la definizione per iscritto di regole di comportamento da seguire nell'utilizzo di dispositivi per il collegamento da remoto, quali ad esempio:
-non lasciare incustodito o accessibile il dispositivo;
-non allontanarsi dalla postazione di lavoro, anche in ambiente domestico, senza che il dispositivo sia stato protetto da password;
-mantenere aggiornati tutti gli antivirus e i software istallati sul dispositivo;
-limitare il salvataggio in locale dei dati a casi eccezionali e limitatissimi e solo qualora non sia possibile tecnicamente lavorare direttamente sulla rete aziendale mediante accesso tramite VPN, avendo cura, cessata l'esigenza, di eliminare tali dati dalla memoria locale;
-regolamentare, ove consentito, l'utilizzo di dispositivi esterni di archiviazione dati;
-informare i lavoratori sui rischi connessi ad eventuali attività di hackeraggio o phishing di cui potrebbero essere vittime e sui comportamenti da seguire per neutralizzare tali attività;
-rammentare le regole aziendali per la gestione di possibili violazioni di dati personali (c.d. data breach) anche facendo eventualmente richiamo a specifiche policy aziendali per la gestione dei data breach ove già implementate.

Ciò detto ovviamente, nel progettare e implementare detti modelli di smart working, dovranno altresì essere tenuti debitamente in considerazione i principi dettati dallo Statuto dei Lavoratori con astensione dall'implementazione sistemi diretti a monitorare a distanza l'attività lavorativa dei dipendenti.

Dunque, questo periodo di grave crisi oltre a porre i nostri modelli sociali e produttivi in grave difficoltà, forse ci sta offrendo anche la possibilità di ripensamento su molti aspetti del nostro vivere e dell'organizzazione del lavoro. Vale pertanto certamente la pena di cogliere tale opportunità e consolidare pratiche organizzative assunte in via d'urgenza ma, nel far ciò, è necessario procedere con cautela e pianificazione al fine di evitare che l'avventato ricorso a nuovi modelli possa comportare danno per le aziende e/o pregiudizio per i diritti fondamentali delle persone.

Vetrina