L’art. 12 del Documento è stato dedicato alla disciplina della protezione dei dati personali.
Come noto, infatti, il sempre crescente ricorso da parte delle aziende (ma anche della PPAA) al c.d. smartworking ha posto moltissime questioni in termini di sicurezza informativa e gestione della privacy.
Il Protocollo detta una serie di prescrizioni ed azioni che il datore di lavoro deve porre in essere che si inseriscono perfettamente nel quadro imposto dal Regolamento UE n. 679/2016 e della conseguente normativa nazionale.
Le imprese al fine di adottare in modo efficiente questa modalità di lavoro e di beneficiarne dei vari vantaggi dovranno inevitabilmente ragionare in termini proattivi di privacy by design e accountability.
In sostanza, nella predisposizione di tutti gli accorgimenti informatico-organizzativi necessari ad aprirsi al lavoro agile, durante le fasi realizzative dovranno man mano prendere in considerazione tutti gli aspetti di sicurezza e privacy necessari.
Veniamo ora pertanto ad analizzare le varie prescrizioni indicante nell’articolo del Protocollo che si occupa di questi aspetti:
- il lavoratore in modalità agile è tenuto a trattare i dati personali cui accede per fini professionali in conformità alle istruzioni fornite dal datore di lavoro.
Ciò sta a significare che il datore deve essere consapevole dell’attività che il lavoratore andrà a svolgere e degli strumenti che lo stesso andrà ad utilizzare in modo tale da poter predisporre (far comprendere) tutte le istruzioni necessarie affinché il dipendente possa trattare adeguatamente i dati personali durante il proprio lavoro.
- Il lavoratore è tenuto alla riservatezza sui dati e sulle informazioni aziendali in proprio possesso e/o disponibili sul sistema informativo aziendale.
Anche in questo caso il dipendente va reso consapevole (anche attraverso una precisa classificazione ed individuazione delle informazioni aziendali) di quali informazioni stia trattando.
- Il datore di lavoro adotta tutte le misure tecnico-organizzative adeguate a garantire la protezione dei dati personali dei lavoratori in modalità agile e dei dati trattati da questi ultimi.
Oltre a quanto già appena su indicato, dovranno di contro essere adottate, nella consapevolezza dello strumento utilizzato nell’ambito dello svolgimento dell’attività in smartworking, quelle misure tali da garantire i dati personali del dipendente siano adeguatamente difesi.
A seguito di queste indicazioni di carattere generale, il Protocollo espressamente richiama l’obbligo da parte del datore di lavoro di porre in essere tutte quelle azioni e tutele disciplinate dall’art. 4 dello Statuto dei Lavoratori in termini di controllo a distanza dell’attività lavorativa.
Invero, è ben noto, come la criticità più imponente nell’ambito dello smartworking sia proprio il difficile bilanciamento tra la necessità di un qualche controllo da parte del datore di lavoro dell’attività dei propri dipendenti e dall’altra la salvaguardia dei diritti dei lavoratori.
Pertanto, nella redazione delle varie istruzioni, sopra brevemente menzionate, da fornire al lavoratore dovranno essere presi in considerazione tutti quegli aspetti che possono determinare un controllo dell’attività lavorativa del dipendente e, conseguentemente, adottare tutte le garanzie prescritte dalla legge (dagli accordi sindacali alle informative privacy)
Il Protocollo, in piena coerenza con il GDPR, stabilisce espressamente (per quanto forse la previsione possa risultare pleonastica) che spetta al datore di lavoro/titolare del trattamento l’aggiornamento del registro del trattamento dei dati connessi alle attività svolte anche in modalità di lavoro agile. Al fine di verificare che gli strumenti utilizzati per il lavoro in modalità agile siano conformi ai principi di privacy by design e by default.
Proprio per tale ragione, ai fini del rispetto del principio di accountability, la norma raccomanda (pur non prescrivendola come obbligatoria) l’esecuzione di valutazione d’impatto (DPIA) dei trattamenti.
Come sopra accennato, direttamente connessa agli aspetti organizzativi e di gestione del dato personale, vi sono quelli della sicurezza informativa.
Significativo è il comma di chiusura dell’art. 12 del Protocollo, perché non si limita semplicemente ad un generico richiamo a promuovere all’interno dell’organizzazione il concetto di security by design, ma suggerisce vere e proprie indicazioni di misure tecniche ed organizzative che il datore può adottare:
- crittografia;
- sistemi di autenticazione:
- VPN;
- piani di backup;
- protezione malware;
- formazione e sensibilizzazione sull’utilizzo, custodia e protezione degli strumenti impiegati per rendere la prestazione;
- formazione sia sulle cautele comportamentali da adottare nello svolgimento della prestazione lavorativa in modalità agile;
- redazione e formazione in materia di gestione dei data breach.
Suggerimenti, si deve specificare, che se pur qualificati come mero esempio, sono comunque inseriti all’interno di una norma e che, si ritiene, quanto meno a livello di trattamento dati, devono essere interpretati in senso di applicazione del principio di accountability.
Ciò, come noto sta a significare che il datore di lavoro/titolare del trattamento, dovrà essere in grado di giustificare e provare le ragioni per le quali, in caso di contestazioni o violazioni, abba deciso di adottare o meno determinate tutele e garanzie.