Smart Working e GDPR per la Business Continuity

Smart Working
Massimo Bacci

Scritto da Massimo Bacci

Avvocato esperto in materia di proprietà intellettuale, diritto delle nuove tecnologie e protezione dei dati.

15 Marzo 2020

Smart Working e Business Continuity

Smart Working (lavoro agile) è diventata la parola chiave per garantire la Business Continuity in situazioni di emergenza, come quella che stiamo vivendo a causa dell’epidemia di Coronavirus. Le imprese che riescono a fornire ai propri dipendenti la possibilità di lavorare da casa sono infatti anche quelle in grado di resistere meglio all’impatto economico generato dal virus.

In alcuni casi non è possibile fare a meno della presenza fisica del dipendente in azienda (si pensi ad esempio agli operai di una fabbrica). Tuttavia, in un numero sempre più grande di casi, per poter lavorare si ha bisogno soltanto di un computer, di un accesso a Internet e della disponibilità dei dati aziendali.

Nella mia professione di Avvocato e consulente, ad esempio, l’impossibilità di recarmi in ufficio non impatta minimamente sulla produttività. Se si escludono le udienze in Tribunale e gli incontri con i clienti, che con un piccolo sforzo tecnologico potrebbero essere anch’essi completamente digitalizzati, tutto ciò di cui dispongo in ufficio è accessibile da ciascuno dei miei dispositivi mobili. Le uniche cose realmente insostituibili sono la socialità ed il contatto umano con i colleghi.

Se introdurre lo Smart Working è particolarmente agevole per un libero professionista che è già responsabile del proprio tempo, della propria produttività e dei propri dati, potrebbe essere non altrettanto semplice per un’impresa. Tuttavia, grazie alle nuove tecnologie, chiunque è in grado di favorire questa modalità di lavoro. Così facendo, aumenterà la flessibilità dell’impresa e la sua capacità di rispondere alle situazioni di emergenza in un’ottica di Business Continuity.

La definizione di Smart Working e la differenza con il Telelavoro

Il lavoro agile (o Smart Working) viene definito come una modalità di esecuzione del rapporto di lavoro subordinato caratterizzato dall’assenza di vincoli orari o spaziali. Il lavoro agile si organizza per fasi, cicli e obiettivi, mediante un accordo tra dipendente e datore di lavoro. Se ben organizzato, lo Smart Working può aiutare il lavoratore a conciliare i tempi di vita e lavoro e, al contempo, favorire la crescita della sua produttività.

Lo Smart Working deve distinguersi dal più risalente Telelavoro. Quest’ultimo costituisce meramente una forma di lavoro a distanza, ad esempio da casa o da un altro luogo fisico ben determinato, resa possibile da connessioni telematiche. Lo Smart Working invece è qualcosa di più. É slegato da un luogo fisico ben preciso e da un orario di lavoro. Mediante lo Smart Working si può lavorare da casa, ma anche su un treno, in viaggio, da un parco o da un caffè, grazie all’utilizzo di dispositivi mobili (laptop, tablet e smartphone). Inoltre, il lavoro è organizzato per fasi ed obiettivi, lasciando libero il dipendente di organizzare il proprio tempo.

Il lavoro agile nella L. 81/2017

Lo Smart Working è definito e regolamentato agli articoli 18 e successivi della Legge n. 81 del 22 Maggio 2017.

L’art. 19 della L. 81/2017 richiede che il lavoro agile venga disciplinato da un accordo sottoscritto fra il dipendente e il datore di lavoro. Tale accordo deve prevedere, fra le altre cose, i tempi di riposo del lavoratore e le modalità di disconnessione dai dispositivi aziendali. Oltre ai requisiti obbligatori per legge, l’accordo deve disciplinare le modalità di svolgimento della prestazione lavorativa, ad esempio indicando i luoghi da cui sarà possibile lavorare, gli strumenti tecnici da utilizzare, la disponibilità e reperibilità del dipendente, le modalità di verifica dell’attività lavorativa da parte del datore di lavoro, le misure tecniche ed organizzative necessarie a garantire la sicurezza dei dati personali e delle informazioni aziendali etc. Esso deve essere oggetto di comunicazione preventiva con le modalità di cui all’art. 9-bis D.L. 510/96.

L’accordo fra dipendente e datore di lavoro può prevedere una durata specifica oppure essere a tempo indeterminato. In quest’ultimo caso, le parti potranno recedere fornendo un preavviso non superiore a 30 giorni. Nel caso di dipendenti disabili, il datore di lavoro dovrà fornire invece un preavviso di recesso di almeno 90 giorni, in modo da permettere al lavoratore di riorganizzare i suoi spostamenti. In ogni caso, le parti potranno recedere prima della scadenza per giustificato motivo.

Controlli a distanza e garanzie per il dipendente

L’accordo di Smart Working prevede anche le modalità con cui il datore di lavoro potrà verificare l’attività del proprio dipendente. Sono però fatte salve le disposizioni di cui all’art. 4 L. 300/1970 sui controlli a distanza. Non è quindi consentito al datore di lavoro controllare il dipendente mediante telecamere, GPS o software che permettano di vedere in diretta lo schermo del suo computer.

In base all’art. 20 L. 81/2017, il trattamento economico del dipendente in Smart Working non può essere inferiore rispetto a quello degli altri lavoratori. Devono inoltre essere fornite le medesime garanzie in caso di assenza per malattia o infortunio. Devono inoltre essere garantite salute e sicurezza sul lavoro, anche mediante la comunicazione di un’informativa riguardante i rischi generali e specifici connessi alla modalità di lavoro.

Le deroghe per l’emergenza Coronavirus

I DPCM del 1 marzo, del 4 marzo e dell’11 marzo 2020 che si sono susseguiti a causa dell’epidemia di Coronavirus hanno agevolato il ricorso allo Smart Working.

Nel perdurare del periodo di emergenza, sarà possibile ricorrere al lavoro agile senza bisogno dell’accordo preventivo fra dipendenti e datori di lavoro. Sarà sufficiente un’autocertificazione cumulativa da parte del datore di lavoro, da comunicarsi con modalità telematiche seguendo le istruzioni indicate sul sito web del Ministero del Lavoro e delle Politiche Sociali.

Restano però ferme le altre disposizioni viste sopra in materia di lavoro agile e quindi il divieto di controlli a distanza, la necessità di garantire sicurezza e salute dei lavoratori etc.

Smart Working e GDPR: nessun conflitto ma attenzione alle misure di sicurezza

In questo periodo di emergenza, mi sono spesso sentito rivolgere una domanda dai miei clienti: lo Smart Working è consentito dal GDPR?

É importante dunque chiarire un concetto fondamentale: GDPR e Smart Working non sono assolutamente in conflitto fra loro. Il GDPR è una norma per sua natura flessibile, che non impone mai divieti assoluti ai trattamenti di dati personali ma li subordina all’adozione di misure di protezione adeguate e ad una preventiva analisi del rischio. Il GDPR consente inoltre di effettuare un bilanciamento fra il diritto delle persone alla protezione dei loro dati e gli altri diritti fondamentali. É chiaro quindi che, dinnanzi alla necessità di tutelare la salute delle persone sia consentito sacrificarne in parte il diritto alla privacy.

Indipendentemente dall’attuale emergenza, lo Smart Working può essere tranquillamente effettuato in conformità con il GDPR anche in condizioni di normalità. La stessa norma ISO/IEC 27001 dedica un capitolo al telelavoro, inteso in questo caso come qualsiasi forma di lavoro svolta al di fuori dei locali aziendali.

Lo Smart Working nella norma ISO/IEC 27001

Ovviamente, lo Smart Working può comportare delle problematiche non indifferenti per la sicurezza dei dati personali e delle informazioni aziendali. Pertanto, affinché lo si possa porre in essere garantendo il rispetto del GDPR, occorre prevedere misure di sicurezza adeguate, sia di natura informatica che organizzative.

Misure di sicurezza informatiche

Dal punto di vista della sicurezza informatica, è consigliabile ad esempio ricorrere a dispositivi aziendali anziché consentire l’uso di strumenti personali. Le ragioni sono molteplici ed evidenti. La sicurezza del device personale non può essere facilmente controllata dall’azienda, poiché il lavoratore lo utilizza anche per finalità personali. Non vi è modo di impedire che lo strumento venga utilizzato anche da persone estranee all’organizzazione aziendale (si pensi ai figli o ai famigliari del dipendente).

Sebbene l’utilizzo della strumentazione aziendale sia sempre da preferirsi, ove ciò non sia possibile, esistono oggi strumenti software che consentono di collegarsi al sistema IT aziendale anche mediante il proprio dispositivo mobile in relativa sicurezza.

Un altro accorgimento tecnico di cui è difficile fare a meno per consentire lo Smart Working è il ricorso ad una VPN. Si tratta di un canale criptato che, tramite l’utilizzo di un firewall, consente l’accesso da remoto al server aziendale in condizioni di sicurezza.

Importantissima è inoltre l’attribuzione di privilegi limitati. Il dipendente, in particolar modo quando lavora a distanza, deve avere accesso soltanto a quelle informazioni che sono essenziali allo svolgimento delle sue mansioni. Inoltre, deve poter effettuare sui dati solo le operazioni necessarie (es. solo lettura, modifica, cancellazione etc.).

Misure organizzative

Le misure informatiche non sono sufficienti a garantire la sicurezza dei dati aziendali in mancanza di misure organizzative. É quindi necessario redigere dei protocolli, che forniscano ai dipendenti delle istruzioni chiare su come comportarsi. É fondamentale poi che questi protocolli siano ben conosciuti e rispettati. Si pensi ad esempio ai disastri che potrebbero succedere se un dipendente, prima di disconnettersi dal server aziendale, lasciasse il computer “in pasto” al proprio figlio piccolo.

In conclusione, lo Smart Working può tranquillamente essere svolto in conformità con il GDPR e con la ISO/IEC 27001. Tuttavia, occorre sempre affidarsi ad un amministratore di sistema competente, che garantisca la sicurezza dei sistemi informatici e dei dati aziendali, nonché ad un consulente privacy, che assicuri l’adozione di adeguati protocolli organizzativi.

Le imprese che si avvalgono di un DPO devono sempre coinvolgerlo nelle decisioni che riguardano il trattamento di dati personali a distanza.

Una lezione da imparare

A fronte della difficilissima prova a cui l’epidemia di Coronavirus ci sta sottoponendo, resterà forse una lezione da imparare.

L’importanza di un approccio basato sul rischio

L’approccio basato sul rischio, su cui si fondano norme come il GDPR e la ISO/IEC 27001, è la chiave per garantire la Business Continuity delle nostre imprese anche in situazioni di emergenza. Troppe poche le aziende che oggi ne fanno ricorso in Italia e che continuano a vivere alla giornata, pensando che a loro non capiterà mai. Questa volta il disastro ha colpito tutti duramente e contemporaneamente ma sono all’ordine del giorno le situazioni che costringono singole aziende ad interrompere la loro produzione.

Il ricorso allo Smart Working anche in situazioni di normalità

Lo Smart Working e le nuove tecnologie ci permettono oggi di limitare i danni di una crisi mai vissuta prima ma possono portare enormi vantaggi anche in situazioni di normalità. Il lavoro agile consente infatti di migliorare la produttività dei lavoratori, responsabilizzarli, limitare gli spostamenti e con essi traffico, inquinamento, costi e sprechi di tempo.

Questo non significa che il lavoro dall’ufficio debba essere abbandonato, bensì coordinato con quello agile a seconda delle necessità.

Mi rivolgo infine ai colleghi Avvocati, per fare un esempio di come lo Smart Working potrebbe migliorare enormemente le nostre condizioni di lavoro.

Quante volte ognuno di noi ha speso ore di auto e ne ha attese altrettante dinnanzi alla porta di un Giudice, per poi presenziare ad un’udienza di 30 secondi con la quale è stato dato un termine per memorie, conferito incarico ad un CTU oppure concesso un semplice rinvio? Quante sono le udienze che oggi richiedono realmente la nostra presenza fisica in aula? Pensate all’enorme risparmio di tempo, costi e stress se fosse possibile effettuare alcune udienze comodamente dal proprio ufficio, connettendosi a distanza tramite sistemi di identificazione digitale. Gli strumenti informatici per farlo esistono ormai da tempo e gli investimenti necessari verrebbero probabilmente ammortizzati in pochissimo tempo dall’enorme risparmio di costi. Ne guadagnerebbe in velocità, efficienza e garanzia di continuità tutta la macchina della Giustizia Italiana, che oggi invece è stata costretta a fermarsi.

Concludo quindi questo mio contributo con una speranza ed un augurio: che vada realmente tutto bene e che questa crisi senza precedenti ci aiuti ad evolvere.

Licenza Creative Commons

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.

Potrebbe interessarti anche…

Chiedi una consulenza

10 + 10 =