Smart Working e trattamento dei dati





In caso di prestazione in modalità smart working o lavoro agile a cui molte aziende stanno ricorrendo per far fronte all'emergenza COVID-19 come considerare gli strumenti attraverso i quali il lavoratore rende la prestazione? Quali gli incombenti a cui i datori di lavoro debbono provvedere? In poche parole, come gestire al meglio l’ambito smart working e la privacy? A queste domande vorremmo oggi dare una risposta.



Premessa 

Per chi si è scontrato con il lavoro agile soltanto in questo periodo  di emergenza Coronavirus e deve in fretta informarsi e provvedere alla migliore implementazione di questa modalità lavorativa andiamo ad esplicare alcuni concetti chiave. 
 

Lo smart working è una modalità di esecuzione della prestazione lavorativa introdotta dall’art. 18 della L. n. 81/2017 con la quale è stabilito che attraverso un accordo fra datore di lavoro e lavoratore subordinato è possibile rendere la prestazione, oggetto del contratto di lavoro subordinato, in luoghi e tempi diversi dai locali aziendali e dal classico orario stabilito nei CCNL.

Con il medesimo accordo le parti possono stabilire che per realizzare la prestazione – ad esempio fuori dai locali aziendali – siano utilizzati determinati strumenti tecnologici, del cui funzionamento è responsabile il datore di lavoro.

 
 Per approfondire l'accordo Smart Working vi invitiamo a leggere il seguente articolo :  Smart Work
 
 

Il controllo e tutela del lavoratore 

Il potere di controllo datoriale resta sostanzialmente un diritto invariato anche quando la prestazione è resa in modalità agile, ma comunque nei limiti degli accordi intervenuti fra le parti e della normativa in materia (fra cui l’art. 4 della L. 300/70 così come modificato dall’art. 23 del D.lgs. 151/2015 e D.lgs. 185/2016), i provvedimenti e linee guida del Garante, nonché delle eventuali disposizioni stabilite dalla contrattazione più o meno collettiva.


La stessa norma però precisa, al comma 2, che tali accordi e autorizzazioni non sono richiesti per gli strumenti utilizzati dal lavoratore per “rendere la prestazione lavorativa” e per gli strumenti di registrazione degli accessi e delle presenze.

L’ultimo comma dell’articolo, appena richiamato, precisa infine che le informazioni raccolte tramite gli strumenti di lavoro possono essere utilizzate, per le finalità connesse al rapporto (fra cui le sanzioni disciplinari) soltanto previa adeguata informazione del loro funzionamento al lavoratore e nel rispetto della normativa in materia di privacy, quindi previa informativa ex art 13 del GDPR.

PC aziendali
 

I PC aziendali – così come altri strumenti affidati al lavoratore per eseguire la propria prestazione in modalità smart working, ossia da remoto – appaiono in prima battuta strumenti necessari a rendere la prestazione lavorativa e pertanto suscettibili di rientrare, ai sensi del comma 2, fra quelli non soggetti al vaglio sindacale o amministrativo preventivo.

Diversamente l’installazione di software con funzionalità appositamente configurate per il tracciamento sistematico e continuativo degli accessi da parte del lavoratore o di altre attività è da ritenersi un controllo vietato ai sensi dell’art. 4 L. 300/70 salvo che non sussistano i presupposti richiamati dalla norma, così come anche precisato dal Provv. del Garante del 2/4/2009 e il Provv. del 13/7/2016 n. 303.

Sarebbe possibile far rientrare il monitoraggio degli accessi al PC del lavoratore in modalità smart working nel novero di controlli legittimi della prestazione lavorativa?

La norma in esame precisa che gli strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e, come ulteriore condizione, e possono essere installati previo accordo collettivo o in mancanza autorizzazione amministrativa.

Riassumendo: il software di monitoraggio degli accessi, installato sullo strumento di lavoro (ai sensi dell’art. 4 comma 2 Statuto dei Lavoratori: il PC aziendale) è applicativo che permette il controllo a distanza, e per quanto installato su di un dispositivo necessario a rendere la prestazione, richiede la preventiva autorizzazione indicata dall’art. 4 dello statuto retro menzionato. 


Il software è infatti applicativo ulteriore e non strettamente necessario a rendere la prestazione lavorativa ma teso a soddisfare esigenze organizzative e di controllo dell’imprenditore e che conseguentemente deve: essere utilizzato per le sole finalità indicate dalla norma (produttive, organizzative, di tutela del patrimonio o di sicurezza) e previa idonea informazione, anche privacy, al lavoratore.

Informativa Privacy 

In sede di accordo, circa le modalità di prestazione, il lavoratore dovrà ricevere indicazione degli eventuali sistemi di monitoraggio che siano installati sul suo PC e le eventuali modalità di controllo, oltre alle informazioni per la tutela della privacy.

Ciò permette al datore di lavoro di poter agire in sede disciplinare se del caso, così come indicato dall’art. 21 del Jobs Act Autonomi.

Si precisa infine che gli strumenti di cui al comma 2 dell’art. 4 per quanto esenti dal vaglio sindacale o amministrativo non permettono al datore di lavoro di controllare indiscriminatamente l’attività del lavoratore incontrando il potere datoriale, in ogni caso, il limite della libertà, dignità e del diritto alla privacy del lavoratore.

Pertanto il trattamento di dati personali dovrà sempre ispirarsi ai principi di correttezza, pertinenza e non eccedenza dettati dalla normativa privacy.

È bene evidenziare che non tutti i software sono da considerarsi vietati in quanto alcuni possono essere considerati strumenti di lavoro alla stregua del pc. Ma sarà opportuno ogni volta procedere ad una valutazione caso per caso.

 

Smart Working e protezione dei dati aziendali

Attraverso i propri dispositivi lo smart worker entra continuamente in contatto con i database aziendali, e tratta una mole non indifferente di informazioni, a volte sensibili. L’accesso, inoltre, non avviene all’interno delle mura aziendali, ma dalla sua abitazione o – peggio – da altri luoghi esterni, amplificando le probabilità che i dati possano essere visualizzati o prelevati da altri.

In caso di violazione è il datore di lavoro a risponderne davanti alla legge, con multe salatissime.
Come conciliare allora le esigenze del “lavoro agile” con quelle scaturite dalle nuove norme europee sulla privacy?

Il GDPR non contempla situazioni del genere e non prevede misure particolari per il lavoratore che maneggia le informazioni aziendali fuori dal suo ufficio. La normativa si limita ad affermare che la scelta dei sistemi di sicurezza deve essere commisurata all’entità dei rischi e alla natura dei dati trattati.

Il compito di disciplinare questo ambito all’interno dell’impresa è dunque affidato al Dpo, il responsabile della protezione dei dati personali, che dovrà istruire il dipendente che lavora da remoto sui rischi legati alle sue attività.

Azienda e lavoratore dovranno adottare sistemi di sicurezza per prevenire che altri possano accedere alle informazioni di cui il dipendente è in possesso, anche in caso di furto dei dispositivi.

Uno di questi è per esempio il sistema di autenticazione a due vie per entrare nei server aziendali, che consente l’accesso solo dopo la digitazione di una doppia password.

Anche i dispositivi utilizzati, sia aziendali sia personali, dovranno essere “messi in sicurezza” con adeguati software antivirus e dotati di sistemi di backup.

È infine preferibile che l’azienda utilizzi precauzioni per evitare che lo smart worker entri in contatto con dati che non hanno a che fare con lo svolgimento delle proprie mansioni, in modo da esporre al rischio un numero inferiore di informazioni.



In ragione dell’interpretazione piuttosto rigida del ministero, dell’ispettorato nonché del Garante che ritiene di dover qualificare come necessari o indispensabili gli strumenti esentati dalla procedura è bene, in un’ottica prudenziale di gestione bilanciata di smart working e privacy rivolgersi ad un consulente privacy. 

Il nostro team di consulenti privacy è a vostra disposizione anche in modalità telematica per chiarimenti e procedure necessarie inclusa l'informativa privacy


Maggiori informazioni privacy smart work

 



Smart Working e trattamento dei dati





In caso di prestazione in modalità smart working o lavoro agile a cui molte aziende stanno ricorrendo per far fronte all'emergenza COVID-19 come considerare gli strumenti attraverso i quali il lavoratore rende la prestazione? Quali gli incombenti a cui i datori di lavoro debbono provvedere? In poche parole, come gestire al meglio l’ambito smart working e la privacy? A queste domande vorremmo oggi dare una risposta.



Premessa 

Per chi si è scontrato con il lavoro agile soltanto in questo periodo  di emergenza Coronavirus e deve in fretta informarsi e provvedere alla migliore implementazione di questa modalità lavorativa andiamo ad esplicare alcuni concetti chiave. 
 

Lo smart working è una modalità di esecuzione della prestazione lavorativa introdotta dall’art. 18 della L. n. 81/2017 con la quale è stabilito che attraverso un accordo fra datore di lavoro e lavoratore subordinato è possibile rendere la prestazione, oggetto del contratto di lavoro subordinato, in luoghi e tempi diversi dai locali aziendali e dal classico orario stabilito nei CCNL.

Con il medesimo accordo le parti possono stabilire che per realizzare la prestazione – ad esempio fuori dai locali aziendali – siano utilizzati determinati strumenti tecnologici, del cui funzionamento è responsabile il datore di lavoro.

 
 Per approfondire l'accordo Smart Working vi invitiamo a leggere il seguente articolo :  Smart Work
 
 

Il controllo e tutela del lavoratore 

Il potere di controllo datoriale resta sostanzialmente un diritto invariato anche quando la prestazione è resa in modalità agile, ma comunque nei limiti degli accordi intervenuti fra le parti e della normativa in materia (fra cui l’art. 4 della L. 300/70 così come modificato dall’art. 23 del D.lgs. 151/2015 e D.lgs. 185/2016), i provvedimenti e linee guida del Garante, nonché delle eventuali disposizioni stabilite dalla contrattazione più o meno collettiva.


La stessa norma però precisa, al comma 2, che tali accordi e autorizzazioni non sono richiesti per gli strumenti utilizzati dal lavoratore per “rendere la prestazione lavorativa” e per gli strumenti di registrazione degli accessi e delle presenze.

L’ultimo comma dell’articolo, appena richiamato, precisa infine che le informazioni raccolte tramite gli strumenti di lavoro possono essere utilizzate, per le finalità connesse al rapporto (fra cui le sanzioni disciplinari) soltanto previa adeguata informazione del loro funzionamento al lavoratore e nel rispetto della normativa in materia di privacy, quindi previa informativa ex art 13 del GDPR.

PC aziendali
 

I PC aziendali – così come altri strumenti affidati al lavoratore per eseguire la propria prestazione in modalità smart working, ossia da remoto – appaiono in prima battuta strumenti necessari a rendere la prestazione lavorativa e pertanto suscettibili di rientrare, ai sensi del comma 2, fra quelli non soggetti al vaglio sindacale o amministrativo preventivo.

Diversamente l’installazione di software con funzionalità appositamente configurate per il tracciamento sistematico e continuativo degli accessi da parte del lavoratore o di altre attività è da ritenersi un controllo vietato ai sensi dell’art. 4 L. 300/70 salvo che non sussistano i presupposti richiamati dalla norma, così come anche precisato dal Provv. del Garante del 2/4/2009 e il Provv. del 13/7/2016 n. 303.

Sarebbe possibile far rientrare il monitoraggio degli accessi al PC del lavoratore in modalità smart working nel novero di controlli legittimi della prestazione lavorativa?

La norma in esame precisa che gli strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e, come ulteriore condizione, e possono essere installati previo accordo collettivo o in mancanza autorizzazione amministrativa.

Riassumendo: il software di monitoraggio degli accessi, installato sullo strumento di lavoro (ai sensi dell’art. 4 comma 2 Statuto dei Lavoratori: il PC aziendale) è applicativo che permette il controllo a distanza, e per quanto installato su di un dispositivo necessario a rendere la prestazione, richiede la preventiva autorizzazione indicata dall’art. 4 dello statuto retro menzionato. 


Il software è infatti applicativo ulteriore e non strettamente necessario a rendere la prestazione lavorativa ma teso a soddisfare esigenze organizzative e di controllo dell’imprenditore e che conseguentemente deve: essere utilizzato per le sole finalità indicate dalla norma (produttive, organizzative, di tutela del patrimonio o di sicurezza) e previa idonea informazione, anche privacy, al lavoratore.

Informativa Privacy 

In sede di accordo, circa le modalità di prestazione, il lavoratore dovrà ricevere indicazione degli eventuali sistemi di monitoraggio che siano installati sul suo PC e le eventuali modalità di controllo, oltre alle informazioni per la tutela della privacy.

Ciò permette al datore di lavoro di poter agire in sede disciplinare se del caso, così come indicato dall’art. 21 del Jobs Act Autonomi.

Si precisa infine che gli strumenti di cui al comma 2 dell’art. 4 per quanto esenti dal vaglio sindacale o amministrativo non permettono al datore di lavoro di controllare indiscriminatamente l’attività del lavoratore incontrando il potere datoriale, in ogni caso, il limite della libertà, dignità e del diritto alla privacy del lavoratore.

Pertanto il trattamento di dati personali dovrà sempre ispirarsi ai principi di correttezza, pertinenza e non eccedenza dettati dalla normativa privacy.

È bene evidenziare che non tutti i software sono da considerarsi vietati in quanto alcuni possono essere considerati strumenti di lavoro alla stregua del pc. Ma sarà opportuno ogni volta procedere ad una valutazione caso per caso.

 

Smart Working e protezione dei dati aziendali

Attraverso i propri dispositivi lo smart worker entra continuamente in contatto con i database aziendali, e tratta una mole non indifferente di informazioni, a volte sensibili. L’accesso, inoltre, non avviene all’interno delle mura aziendali, ma dalla sua abitazione o – peggio – da altri luoghi esterni, amplificando le probabilità che i dati possano essere visualizzati o prelevati da altri.

In caso di violazione è il datore di lavoro a risponderne davanti alla legge, con multe salatissime.
Come conciliare allora le esigenze del “lavoro agile” con quelle scaturite dalle nuove norme europee sulla privacy?

Il GDPR non contempla situazioni del genere e non prevede misure particolari per il lavoratore che maneggia le informazioni aziendali fuori dal suo ufficio. La normativa si limita ad affermare che la scelta dei sistemi di sicurezza deve essere commisurata all’entità dei rischi e alla natura dei dati trattati.

Il compito di disciplinare questo ambito all’interno dell’impresa è dunque affidato al Dpo, il responsabile della protezione dei dati personali, che dovrà istruire il dipendente che lavora da remoto sui rischi legati alle sue attività.

Azienda e lavoratore dovranno adottare sistemi di sicurezza per prevenire che altri possano accedere alle informazioni di cui il dipendente è in possesso, anche in caso di furto dei dispositivi.

Uno di questi è per esempio il sistema di autenticazione a due vie per entrare nei server aziendali, che consente l’accesso solo dopo la digitazione di una doppia password.

Anche i dispositivi utilizzati, sia aziendali sia personali, dovranno essere “messi in sicurezza” con adeguati software antivirus e dotati di sistemi di backup.

È infine preferibile che l’azienda utilizzi precauzioni per evitare che lo smart worker entri in contatto con dati che non hanno a che fare con lo svolgimento delle proprie mansioni, in modo da esporre al rischio un numero inferiore di informazioni.



In ragione dell’interpretazione piuttosto rigida del ministero, dell’ispettorato nonché del Garante che ritiene di dover qualificare come necessari o indispensabili gli strumenti esentati dalla procedura è bene, in un’ottica prudenziale di gestione bilanciata di smart working e privacy rivolgersi ad un consulente privacy. 

Il nostro team di consulenti privacy è a vostra disposizione anche in modalità telematica per chiarimenti e procedure necessarie inclusa l'informativa privacy


Maggiori informazioni privacy smart work

 



Scopri subito la nostra soluzione Privacy Facile
e trova la versione pił adatta alle tue esigenze


SCOPRI