Lo smart working richiede un sapiente uso del digitale, una governance integrata e un’evoluzione dei modelli organizzativi aziendali, dei quali la privacy è parte integrante. Perché il tutto si svolga in sicurezza, occorre attuare le giuste misure di sicurezza caso per caso, nel pieno rispetto della normativa vigente
Zoom, l’app per conference call che ha spopolato in periodo di Coronavirus, è stata messa sotto inchiesta per problemi di privacy: video call che permettono a persone non autorizzate di intrufolarsi durante le conferenze altrui, questa è la vulnerabilità rilevata e causata da alcuni dati personali che risultano accessibili anche ad altri utilizzatori della piattaforma.
Un’app per meeting, webinar e conferenze via webcam che ha riscontrato un enorme successo durante l’emergenza sanitaria. L’enorme popolarità improvvisa però ha portato all’attenzione di tutti un grave limite nella tutela dei dati personali.
Zoom infatti, con la funzione Company Directory permette ad ogni utilizzatore di vedere alcune informazioni di base dei colleghi come nome, cognome ed email. Per fare ciò Zoom prende in considerazione il dominio dell’indirizzo mail fornito dagli utenti come accesso e per usare la piattaforma. Quindi, nel caso i lavoratori utilizzino tutti un indirizzo corporate, le informazioni sarebbero condivisibili solo tra chi fa parte della stessa azienda, filtrando invece chi ricorre a domini mail pubblici (come Gmail o Yahoo! ad esempio) che non sarebbero quindi visibili ad altri utenti.
È possibile garantire comunicazioni efficaci e sicure anche lavorando da casa?
Lo smart working è possibile. L’emergenza Covid-19, nonostante l’enorme disagio, ce lo ha confermato. L’uso di dispositivi personali o aziendali, unito a software e modalità per lo scambio di dati e comunicazioni permettono a molte aziende di mantenere buoni ritmi di produttività, ma le minacce alla privacy continuano ad esserci!
Attenzione a non incorrerrere nelle sanzioni della privacy proprio ora che avete deciso di andare verso lo smart working a seguito dell’emergenza coronavirus.
E’ stato pubblicato in Gazzetta Ufficiale il Decreto 23 febbraio 2020 per consentire ai dipendenti delle aziende, nelle regioni più colpite dal nuovo Covid-19, di poter lavorare da remoto presso la propria abitazione grazie alla tecnologia. Con il Decreto del primo marzo 2020 (sostituito con il recentissimo DPCM 4 marzo 2020) questa modalità di lavoro è stata estesa a tutto il territorio nazionale.
Decisamente un grand aiuto per l’economia d’impresa per poter reagire prontamente alla situazione di emergenza che sta affrontando il nostro paese al momento, però dobbiamo sottolineare che pare che il decreto non specifichi né prescriva particolari adempimenti in termini di sicurezza dei dati personali circa l’improvviso utilizzo dei BYOD (pc, tablet, smartphone personali) e/o dei device aziendali.
Questa tipologia di “lavoro agile”, denominata smart working e introdotta già dalla Legge n.81 del 2017, sembrerebbe mettere a dura prova la protezione dei dati personali, poiché non vi sono state ulteriori misure chiarificatrici, neanche da parte del nostro Garante, emanate per mitigare i rischi a cui essi sono così sottoposti e maggiormente esposti: si pensi ad esempio ai frettolosi collegamenti da remoto effettuati su VPN (Virtual Private Network) verso i server aziendali; si pensi a misure fittizie di “sicurezza fai da te”; si pensi all’utilizzo dei propri device per svolgere l’attività lavorativa in totale assenza di misure tecniche di sicurezza; si pensi alla mancanza di policy di sicurezza presenti solo all’interno delle mura aziendali ed alla grandissima mole di dati personali messi a disposizione di dipendenti e collaboratori all’esterno dell’impresa.
Secondo l’Osservatorio Smart Working del Politecnico di Milano questa modalità lavorativa è: “una nuova filosofia manageriale fondata sulla restituzione alle imprese di flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati”.
Lo smart working, però, non è una semplice iniziativa per i lavoratori; esso, infatti, richiede un sapiente uso dell’innovazione digitale, una governance integrata ed una grande evoluzione dei modelli organizzativi aziendali, dai quali, ovviamente, la privacy non può essere esclusa, anzi, ne ricopre parte integrante, dati i molteplici impatti, poiché la nuova tecnologia gioca un ruolo fondamentale.
Le tecnologie digitali possono, infatti, ampliare e rendere virtuale uno spazio di lavoro, abilitare nuovi supporti e scenari per svolgere la propria mansione, facilitare la creazione di nuovi network professionali e sviluppare nuove modalità di lavoro, poiché lo smart working non è praticabile solo in ambiente domestico, ma ovunque lo si voglia al di fuori dell’ufficio.
Anche l’Italia, per arginare l’epidemia del Coronavirus, è ricorsa al lavoro agile grazie al Decreto attuativo approvato d’urgenza dal Governo, anche senza un accordo preventivo con i dipendenti, come richiesto, invece, dalla Legge del 2017.
Unica salvezza rispettare il GDPR
È vero che dipendenti e collaboratori, in qualità di autorizzati al trattamento, dovrebbero già avere precise istruzioni, impartite dal Titolare, per la salvaguardia dei dati personali che trattano nello svolgimento della propria mansione lavorativa, ma all’interno dell’azienda nella quale operano ovvero non sempre le direttive e le procedure di sicurezza sono rivolte allo smart working, soprattutto ove non è stato mai previsto.
Quali sarebbero, quindi, le misure di sicurezza adeguate che il titolare del trattamento dovrebbe attuare per garantire la tutela dei dati personali degli interessati?
Anche in questo periodo storico di emergenza sanitaria, la risposta è semplice: rispettare il GDPR ovvero attuare tutte quelle procedure, che avrebbe dovuto mettere in campo, se avesse previsto dal principio dell’attività lavorativa lo smart working e, ove impossibile, impedire momentaneamente quei trattamenti ad elevato rischio per i diritti e le libertà fondamentali degli interessati. In base all’approccio basato sul rischio ed alle misure di accountability introdotti dal GDPR, se si procedesse un’attenta valutazione (DPIA) sui trattamenti in ambiente smart working “implementato per emergenza”, da intendersi come possibili impatti negativi sui diritti e le libertà degli interessati, sarebbe alquanto improbabile far risultare una matrice di rischio bassa o medio bassa, soprattutto ove non siano state previste a monte misure adeguate alla sua mitigazione, per l’assenza delle quali sono previste sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale.
I dati personali, quindi, compresi quelli appartenenti a particolari categorie, potrebbero subire furti, perdite accidentali, accessi abusivi, diffusioni dolose o colpose ed, anche in questo caso, la formazione dello smart worker (ad es. attuabile tramite videoconferenza data la criticità) tra le misure adeguate di sicurezza, predominerebbe la scena, poiché come prescritto dall’art.32 del Regolamento (oltre che dall’art.29):”il titolare del trattamento ed il responsabile del trattamento fanno si che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione Europea o degli Stati Membri”.
E’ , pertanto, indispensabile attuare le giuste misure di sicurezza nel pieno rispetto della normativa vigenti.