Smart working tra privacy, cybersecurity e controlli datoriali

dott. Marco Massimini – Amministratore Unico e Project Manager di Privacy.it

Pubblicato in data 25-05-2020

Durante l’esplosione della pandemia, il massiccio ricorso allo smart working ha garantito la continuità operativa del Paese e a fine emergenza il lavoro agile potrebbe imporsi quale soluzione stabilmente funzionale ad un nuovo e più sostenibile equilibrio socio-economico. Cambiando le condizioni logistiche e strumentali della prestazione lavorativa occorre tener conto che muta anche il contesto in cui deve garantirsi la protezione dei dati. Per questo, l’improvvisazione iniziale deve ora far spazio alle regole. Tanto più in un Paese la cui popolazione ha competenze digitali sotto la media UE. Vale, dunque, la pena soffermarsi sulle principali implicazioni tra privacy e lavoro a distanza.

Premessa

Da quando è iniziata la strenua lotta per la mitigazione della pandemia da coronavirus Covid-19, sono emerse numerose problematiche di data protection di vario genere e natura sottese sia alle attività di pubblico contrasto all’emergenza epidemiologica sia alla dimensione domestica in cui ciascun individuo, suo malgrado, ha sperimentato un nuovo modo di vivere la propria socialità e professionalità. Tra le questioni ad impatto privacy che più direttamente hanno interessato il panorama nazionale, si potrebbero citare in ordine sparso:

L’elenco, comunque destinato ad allungarsi col passare dei giorni, non considera gli innumerevoli spunti provenienti da ogni latitudine. Se, ad esempio, volessimo limitare l’attenzione ai diversi approcci di track & trace, meriterebbero specifica menzione le ultime notizie che segnalano come:

Il complicato rapporto tra privacy e pandemia offre anche una questione di ordine generale. Quando una questione di sicurezza nazionale irrompe nella vita di un Paese, si leva – quasi fosse un refrain che riecheggia ogniqualvolta si diffonde nella popolazione uno stato di paura (come, ad esempio, dopo gli attacchi terroristici del 11/9/2001) – il sentore che le tutele sui dati siano abdicabili. L’emergenza Covid-19 ne ha fornito ulteriore conferma e non si sono fatte attendere, nemmeno in Italia, le voci che hanno definito la privacy un impiccio alle attività di contrasto epidemiologico. Non è mancato chi ha chiesto l’interruzione delle tutele sui dati, ignorando che la normativa di data protection non può essere d’ostacolo prevedendo (come meglio spiegato in questo contributo) essa stessa meccanismi di flessibilità per eventi di carattere straordinario, senza che per questo si debbano sospendere i più elementari diritti civili.

Puta caso, l’unica nazione europea che ad oggi ha sospeso in nome dell’epidemia i diritti dell’interessato di cui agli artt. 15-22 del GDPR è l’Ungheria del premier ultra-nazionalista Viktor Orban, appena reduce dall’impresa di aver chiuso d’imperio le attività del parlamento magiaro. La pandemia può costituire un pretesto per introdurre o consolidare forme autoritarismo (si veda, tra gli altri, il recente appello internazionale di cui si è fatto primo firmatario il premio Nobel Mario Vargas Llosa) e la storia contemporanea ci ha insegnato che l’eliminazione dei diritti di autodeterminazione informativa sono sempre prodromi di una pericolosa deriva. Su questi aspetti è, dunque, necessario che ciascun ordinamento democratico tenga il punto (tanto più in un periodo storico che, prim’ancora che scoppiasse quest’emergenza, si mostrava particolarmente fruttifero per i propugnatori di dottrine populiste e sovraniste). Ed occorre che, anche nei momenti più complicati, i cittadini non si prestino al baratto tra sicurezza e “privatezza” senza adeguato discernimento.

Insomma, le tematiche di privacy legate allo scenario innestatosi con la pandemia davvero non mancano ed ognuna di esse meriterebbe specifico approfondimento. Nel presente contributo si è deciso di esplorare il tema della protezione dati nell’ambito dello smart working perché il destino del lavoro a distanza sta attraversando una fase decisiva: in pochissime settimane è passato da sporadica opzione a soluzione obbligata. Il futuro pareva già segnato in suo favore grazie ad astri favorevolmente allineatisi per effetto di un’esplosione digitale che, polverizzando barriere e annullando distanze, stava affermando la futilità della compresenza umana in un numero crescente di situazioni sociali ma anche professionali. Le aziende erano già alle prese con afflati di trasformazione tecnico-organizzativa e nuovi paradigmi di razionalizzazione/riallocazione delle risorse che inducono – tra digitalizzazione dei processi, devoluzione in outsourcing di funzioni e competenze specifiche – a minimizzare i contributi da prestarsi in sede: il ricorso allo smart working era un ulteriore aspetto della metamorfosi in atto, già messo nel mirino da molti ma da pochi attuato con un approccio strutturale.

Quando torneremo alla normalità scopriremo davvero quanto spazio il “lavoro agile” avrà anticipatamente e stabilmente conquistato grazie ad un tragico imprevisto. E’, dunque, questo il momento opportuno per puntare l’obbiettivo sul tema mettendone a fuoco i principali connotati di privacy.

La spinta propulsiva della pandemia

La pandemia di Covid-19 ha costretto migliaia di aziende, associazioni, studi professionali e pubbliche amministrazioni a rivoluzionare l’organizzazione del lavoro. Tra limitazioni di movimento e chiusure forzate, il massiccio ricorso al lavoro agile è stata la principale leva che ogni realtà ha dovuto azionare per salvaguardare una qualche forma di continuità operativa delle funzioni non direttamente produttive. Una soluzione che è risultata quasi naturale, resa possibile dal fatto che oggi tutti (o quasi) i lavoratori sono anche cittadini digitali armati di un kit tecnologico personale: hanno uno smartphone, spesso sono dotati di un computer domestico e magari anche di una stampante e di una connessione flat ad alta velocità. Insomma, una buona parte della forza lavoro ha potuto in qualche modo continuare a fornire le proprie prestazioni da remoto anche laddove il datore di lavoro non li abbia forniti di dotazioni ICT per agevolarne l’operato.

Premesso che lo smart working è pratica cui da tempo si fa crescente ricorso per via del complesso di benefici socio-economici che può apportare sia al datore che al lavoratore (che non si richiamano in questa sede), in tempo di pandemia si è acclarato come il lavoro a distanza sia uno strumento semplicemente decisivo per cercare di mitigare l’emergenza epidemiologica e, contestualmente, le nefaste ricadute economiche della stessa. Lavorando da casa, i collaboratori hanno una minore esposizione al virus e non rischiano di portarlo/prenderlo in azienda (o sui mezzi quotidianamente utilizzati per raggiungerla). Dal suo canto, l’azienda avrà meno personale sul posto di lavoro e, di conseguenza, necessiterà di un minor sforzo di contenimento (tra cui i costi di sanificazione e approvvigionamento di dispositivi di protezione) e potrà garantire un maggior distanziamento tra il personale che si dovesse indispensabilmente recare in struttura.

Il Protocollo del 24 aprile 2020, sottoscritto dalle parti sociali ha invitato al massimo utilizzo dello smart working: “il lavoro a distanza continua ad essere favorito anche nella fase di progressiva riattivazione del lavoro in quanto utile e modulabile strumento di prevenzione”. Il 13 maggio 2020 il Governo italiano ha presentato il “decreto rilancio” che all’art. 96 sancisce come, fino al termine dell’emergenza epidemiologica, i lavoratori dipendenti di aziende private con almeno un figlio entro i 14 anni avranno diritto al lavoro agile anche senza gli accordi individuali previsti dalla Legge 81/2017, purché questa modalità sia compatibile con le caratteristiche della loro prestazione. Il medesimo articolo precisa che “La prestazione lavorativa in lavoro agile può essere svolta anche attraverso strumenti informatici nella disponibilità del dipendente qualora non siano forniti dal datore di lavoro”. Per quanto riguarda il comparto pubblico, l’art. 87 del decreto “Cura Italia” ha stabilito che “Fino  alla  cessazione  dello  stato   di   emergenza epidemiologica da COVID-2019 (….) il  lavoro agile è la modalità  ordinaria  di  svolgimento  della  prestazione lavorativa nelle pubbliche amministrazioni (…)” e che “La prestazione lavorativa in lavoro  agile  può essere  svolta anche  attraverso  strumenti  informatici  nella  disponibilità  del dipendente qualora non siano forniti  dall’amministrazione”.

Ormai sappiamo che dovremo convivere con la minaccia virologica per qualche mese, o forse anno. E’ dunque presumibile che ricorso allo smart working continuerà pertanto ad essere ingente, sia perché abbatte il rischio sanitario, sia perché – correlato da non sottovalutare – decrementa le probabilità (o la percezione del rischio) che il datore possa esser chiamato in causa dai lavoratori per rispondere dei contagi che dovessero verificarsi nella sua struttura: uno spettro che agita il sonno dei legali rappresentanti. Anche per questi motivi, si calcola che nei prossimi mesi saranno tra i 6 e gli 8 milioni i lavoratori pubblici e privati coinvolti in forme di lavoro agile.

Al di là di questo, ci saranno anche tante organizzazioni che, avendo saggiato nel periodo emergenziale i vantaggi dello smart working, vorranno continuare a farvi ampio ricorso trovando buona disponibilità nel personale (vuoi perché molti lavoratori potrebbero oggettivamente gradire lavorare da casa, vuoi perché, con il sicuro aggravarsi della crisi occupazionale, a molti premerà mantenere il posto più che contestare la scelta datoriale). Secondo una recente indagine della CGIL, il 60% dei lavoratori vorrebbe continuare in qualche modo ad operare in modalità di lavoro agile.

Il 12 maggio 2020 Twitter ha annunciato: “(..) if our employees are in a role and situation that enables them to work from home and they want to continue to do so forever, we will make that happen”. In pratica: cari dipendenti, se lo volete, potete scegliere di lavorare da casa per sempre. Un chiaro segno dei tempi che corrono.

Date queste premesse, pare opportuno fare un punto su quali siano i profili di data protection e di data security da tenere in particolare considerazione in riferimento allo smart working. Perché se cambiano le condizioni temporali, logistiche e strumentali della prestazione lavorativa muta anche il contesto in cui deve garantirsi la protezione dei dati; questo sia in riferimento ai dati dei lavoratori in smart working trattati dal datore sia ai dati personali di terzi (colleghi, clienti, utenti, fornitori, contatti, etc.) che lo smart worker è chiamato a trattare in esecuzione delle sue mansioni. Sarebbe paradossale che un’azienda, che magari negli ultimi anni si è tanto preoccupata di adeguarsi al GDPR, dimenticasse di estendere le proprie attenzioni ai processi eseguiti in smart working.

Lo scenario di fondo

Prima di entrare nello specifico, è bene sottolineare alcuni aspetti che compongono il background della questione in esame.

Per quanto concerne il contesto generale, si deve dare per assunto che:

  • i dati personali sono un asset primario per qualsiasi organizzazione, e in molti casi ne costituiscono il core value;
  • i dati personali devono essere trattati e protetti secondo la normativa generale GDPR e le ulteriori disposizioni ad esso riconnesse;
  • l’applicabilità e la forza del GDPR non cambia al variare della modalità con cui si organizza il lavoro.

Per quel che riguarda il contesto di specie italiano, occorre in aggiunta considerare che:

  • la pubblica amministrazione, tranne rare eccezioni, versa notoriamente in uno stato di generale arretratezza digitale, sia in termini culturali che strumentali;
  • il tessuto economico è caratterizzato da una miriade di PMI, molte delle quali ancora non eccellono quanto a valorizzazione e protezione del proprio patrimonio informativo digitale e a regolamentazione dell’utilizzo degli strumenti ICT;
  • rispetto alla media europea, le aziende sono in grave ritardo quanto a compliance GDPR: nemmeno 1 su 4 si può dire adeguata;
  • quanto a competenze digitali di base della popolazione (parte della quale è finita improvvisamente in smart working), secondo l’Eurostat solo il 42% degli italiani le possiedono rispetto al 58% della media UE e, in particolare, al 70% della “solita” Germania.

E’ questo lo scenario su cui è piombata una pandemia che ha provocato, in modo tanto subitaneo quanto forzato, il più grande esperimento globale di smart working della storia. Molte entità italiane hanno azionato una sorta di pulsante switch to remote mode senza avere tempo e modo di considerare adeguatamente l’introduzione di specifiche di contesto, lasciando così spazio all’improvvisazione e ad una scarsa consapevolezza. Ora che entriamo nella fase della convivenza col virus e che speriamo di avviarci verso una progressiva normalizzazione, occorre che le implicazioni tra lavoro agile e normativa di privacy siano oggetto di specifica valutazione e, laddove necessario, di puntuale regolamentazione.

Vediamo allora di riassumere in breve le questioni che necessitano di maggiore attenzione.

Estensione dell’accountability

Il titolare deve innanzitutto tener conto che il principio di responsabilizzazione (accountability), che è crisma fondante del GDPR, si estende a qualsiasi iniziativa o misura intesa a favore i trattamenti di dati da svolgersi in modalità di smart working. Questo significa adottare comportamenti proattivi che dimostrino la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento europeo e delle normative ad esso correlate. Spetta al titolare decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. E su questi aspetti dovrà lasciare traccia delle sue decisioni anche in riferimento allo smart working.

Nella pratica, il titolare (o il responsabile) potrà dover:

  • integrare il registro dei trattamenti da tenersi ai sensi dell’art. 30 GDPR con nuovi elementi (trattamenti, banche dati, strumenti, esternalizzazioni, misure di sicurezza) che dovessero riguardare le attività in smart working;
  • valutare ai sensi del GDPR e dello Statuto dei Lavoratori il potenziale invasivo di eventuali sistemi che consentano il monitoraggio dell’utilizzo degli strumenti e della rete aziendale, eventualmente sottoponendoli a valutazione d’impatto – DPIA ex art. 33 GDPR;
  • valutare la necessità di integrare l’informativa ai lavoratori alla luce di eventuali nuovi trattamenti datoriali riconnessi allo smart working;
  • ricalibrare l’ambito di autorizzazione dello smart worker, laddove necessario e applicando in maniera maggiormente restrittiva il principio di need to know;
  • integrare/riformulare, in funzione del contesto delocalizzato, le istruzioni per la sicurezza dei dati da rendersi allo smart worker;
  • intraprendere specifiche iniziative di formazione per conferire al lavoratore agile gli opportuni strumenti di conoscenza e consapevolezza;
  • ampliare, se necessario, l’ambito di autorizzazione degli amministratori di sistema, osservando le prescrizioni rese in materia dal Garante con Provvedimento del 2008 tutt’oggi in vigore;
  • verificare che le soluzioni informatiche eventualmente sviluppate internamente per consentire lo svolgimento del lavoro a distanza siano conformi ai principi di privacy by design/by default e garantiscano la sicurezza dei dati ex art. 32 GPDR;
  • verificare rigorosamente la contrattualistica e la conformità al GDPR delle soluzioni o piattaforme fornite da terzi (ad esempio, per il networking), valutando la necessità/adeguatezza di eventuali data processing agreement da sottoscrivere ai sensi dell’art. 28 del regolamento.

Queste attività, molte delle quali sono strettamente connesse tra loro, dovranno essere prodotte non tanto in maniera sequenziale ma, piuttosto, adottando un action plan dalla logica sincretica e coordinata.

Ovviamente, laddove abbia designato un Data Protection Officer (DPO), sarà importante che il datore lo coinvolga su queste tematiche affinché possa indirizzare e validare le diverse decisioni/soluzioni (anche in termini di accountability).

Rafforzamento della consapevolezza del lavoratore

Il datore di lavoro deve informare il lavoratore agile su quale sia l’ambito di trattamento consentito. Tendenzialmente sarà autorizzato ad eseguire in smart working i medesimi trattamenti di dati che è ammesso a svolgere in ufficio secondo le proprie mansioni, fatte salve le attività non eseguibili da remoto e fatte salve diverse e specifiche indicazioni dirigenziali correlate alla diversa modalità di operare.

Parimenti, è opportuno che il datore rammenti al personale in smart working che esso è tenuto ad attenersi – laddove compatibili ed comunque applicabili al contesto extra aziendale – alle medesime istruzioni e procedure già rese dal titolare in tema di trattamento e tenuta in sicurezza dei dati personali. Ad ogni buon conto, per quanto possa apparire ridondante, è necessario informare il lavoratore che anche nelle prestazioni rese a distanza permangono gli obblighi generali di:

  • non violare il segreto e la riservatezza delle informazioni trattate;
  • proteggere i dati contro i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito;
  • rispettare e applicare le misure di sicurezza fisiche, informatiche, organizzative, logistiche e procedurali;
  • utilizzare soltanto per rendere la prestazione lavorativa gli eventuali strumenti ICT aziendali (computer, smartphone, ecc.) che il Titolare abbia concesso in uso anche al di fuori della struttura;
  • contattare il titolare o l’amministratore di sistema per qualsiasi dubbio, sospetto di incidente o di violazione che possa in qualche modo compromettere dati aziendali.

Protezione della postazione di lavoro

A fronte della particolare condizione logistica e della differente modalità di lavoro, il personale che opera in smart working deve essere informato dal datore della necessità di adottare specifiche cautele in relazione alla propria postazione di lavoro. La finalità è, ovviamente, quella di specificare in relazione al contesto i principi di preservazione della riservatezza e dell’integrità delle informazioni aziendali, tra cui rientrano i dati personali trattati in esecuzione delle proprie mansioni.

Innanzitutto, per molti lavoratori può porsi il problema della promiscuità; un aspetto che è risultato particolarmente evidente durante il lockdown quando gran parte di noi si è trovata a lavorare in uno stato di costante contiguità coi propri familiari. Ma l’evenienza può proporsi anche al di fuori dell’emergenza epidemiologica: lavorare da casa può significare operare in un appartamento dove sono presenti congiunti, coinquilini o collaboratori domestici, e – ben più occasionalmente – installatori, operai o manutentori.

Per questo occorre che si individui una stanza ove allestire una postazione che possa essere utilizzata in modo esclusivo interdicendone l’accesso agli altri quando si è al lavoro. Laddove ciò non fosse logisticamente possibile, lo smart worker dovrebbe avvisare i presenti di non invadere un determinato spazio perché deputato alla propria attività professionale e dovrebbe comunque posizionarsi in modo che i compresenti non possano facilmente visualizzare documenti o informazioni aziendali su carta o a video.

In presenza altrui, il lavoratore dovrà evitare il ricorso al vivavoce ed usare possibilmente gli auricolari ricorrendo ad un tono di voce quanto più possibile discreto. Per massimo scrupolo, è inoltre bene tener conto del possibile ascolto (involontario o “preterintenzionale”) da parte di vicini di casa o passanti. Questo, senza diventare paranoici e valutando se un contesto ambientale è concretamente a rischio. Ci sono appartamenti in cui l’isolamento acustico dalle altrui pertinenze circostanti è davvero carente. Oppure c’è chi ama telefonare in balcone trovandosi a parlare ad alta voce per sopraffare i rumori della città.

Pur sempre nei limiti della specifica conformazione dell’ambiente domestico, l’ubicazione della postazione va scelta anche considerando eventi che possono apparire improbabili, ma che si verificano più spesso di quanto si pensi. La postazione deve essere al riparo dal rischio di essere investita da acqua, vento o fonti di calore eccessivo. Parimenti, è bene accertarsi della affidabilità/conformità delle prese elettriche domestiche prima di utilizzarle per alimentare i dispositivi utilizzati per lavorare.

Sempre riguardo la “incidentistica” che si tende a sottostimare, perché ritenuta improbabile o scarsamente prevenibile, sarebbe opportuno proteggere i supporti di trattamento dati (cartacei o elettronici che siano) da possibili assalti di due categorie di soggetti sempre pronti a trasformarsi in entusiasti incursori e tendenzialmente refrattari a qualsiasi istruzione/divieto. Trattasi de:

  • gli animali domestici. Chiunque ne abbia avuto uno sa che un gatto può balzare su una scrivania facendo cadere una tazza di caffé bollente su un laptop, un cucciolo di cane può addentare un cavo e portarsi il relativo device a spasso, un coniglio può triturare un documento riservato meglio di uno shredder professionale;
  • la prole. I più piccoli, oltre a poter eseguire le medesime imprese degli animali domestici, sono fatalmente attratti dalla tecnologia e sono rinomati per avere un tocco magico grazie al quale, se non sorvegliati, possono in men che non si dica bloccare uno smartphone o una sim, oppure inviare una bozza di e-mail, oppure sabotare in modo apparentemente irreversibile le funzioni di un notebook trovando misteriose combinazioni di tasti (Ctrl + Alt + ….), oppure ciucciare una pen drive usb o provare a far galleggiare un router portatile. Ma non si possono ignorare le possibili prodezze dei teenager come, ad esempio, il sottoscritto che nei primi anni’80 – giocando in casa con un pallone di cuoio in assenza dei genitori – con un esterno a giro mal eseguito riuscì a schiantare uno dei primi esemplari di Apple IIE.

Protezione fisica di documenti e supporti di memoria

Quanto appena considerato circa la scelta e la protezione della postazione di lavoro reca diretti benefici alla protezione dei documenti cartacei o dei supporti esterni di memoria. In aggiunta, è opportuno ricordare che:

  • occorre evitare di stampare documenti aziendali quando ciò non sia strettamente necessario avendo cura di distruggere accuratamente eventuali copie non più strettamente utili;
  • fuori dall’orario di lavoro, nel caso sia indispensabile conservare documentazione aziendale in formato cartaceo, si dovrà aver cura di riporla in un vano (locale, cassaforte, armadio o cassetto) dotato di serratura ad uso esclusivo del lavoratore;
  • al termine dell’orario di lavoro, o comunque in caso di allontanamento temporaneo dalla postazione, bisogna riporre nei vani di cui al punto precedente anche il computer o il supporto di memorizzazione che il Titolare abbia concesso in uso al lavoratore (difficilmente, invece, si avrà il “coraggio” di archiviare lo smartphone aziendale nonostante sussista un diritto di disconnessione cui faremo cenno più avanti. Sarà allora ovvio custodirlo con cura anche in orari di minore sollecitazione).

 Protezione del dispositivo personale utilizzato per lavorare

Qualora il lavoratore non disponga di un dispositivo aziendale e utilizzi un dispositivo personale per eseguire la prestazione lavorativa, dovrà aver cura di:

  • utilizzare un dispositivo, se possibile, ad uso esclusivo personale;
  • creare un account personale nel caso che il dispositivo (pc, tablet) sia ad uso condiviso con i familiari e in modo che il lavoratore acceda ad una partizione a suo uso esclusivo;
  • proteggere l’accesso al dispositivo (o alla propria partizione) con credenziali conosciute soltanto del lavoratore, evitando qualsiasi forma di condivisione;
  • evitare il ricorso a credenziali facilmente intuibili o ricostruibili;
  • non consentire al browser del dispositivo di salvare una password di accesso ad un programma aziendale;
  • verificare che il dispositivo sia aggiornato quanto a misure di protezione, quali antivirus, antimalware, e firewall. Il datore potrebbe, in proposito, indicare i tool di sicurezza più adatti;
  • verificare che il device sia aggiornato con l’ultima versione disponibile del sistema operativo su cui gira;
  • non salvare documenti aziendali nella memoria del proprio dispositivo o in altre periferiche personali laddove siano disponibili funzioni di salvataggio su server aziendali;
  • non aprire allegati o link che destino sospetti;
  • non scaricare programmi di dubbia provenienza;
  • disconnettersi accuratamente a fine sessione dagli applicativi aziendali.

Protezione del dispositivo aziendale

Per quanto attiene ai dispositivi di lavoro forniti dal datore, lo strumento dovrebbe essere già predisposto quanto sicurezza delle informazioni tramite dotazione di:

  • sistema operativo aggiornato;
  • misure di protezione da intrusioni (antivirus, firewall, patch di sicurezza) aggiornate. Il lavoratore dovrà essere comunque chiamato a scaricare gli opportuni aggiornamenti laddove l’azienda non abbia implementato automatismi a riguardo.
  • tecniche di cifratura;
  • eventuale blocco delle porte USB e di connettori ad altre periferiche;
  • configurazione dell’accesso remoto ai sistemi aziendali;
  • configurazione del pacchetto di applicativi autorizzati;
  • tool o script di back-up automatizzato su server aziendale.

Lo smart worker dovrà in via di principio seguire le procedure specificamente previste dall’azienda per l’utilizzo degli strumenti in ufficio, per quanto compatibili. Ma non c’è dubbio che il datore dovrebbe emanare una regolamentazione specifica (sotto forma di integrazione o con procedura ad hoc) per l’utilizzo in remoto degli strumenti aziendali. Questa regolamentazione, oltre agli obblighi generali di riservatezza e le misure di sicurezza della postazione, dovranno disciplinare:

  • il divieto di modifica delle impostazioni pre-configurate dal datore;
  • il divieto assoluto di condivisione del dispositivo e delle credenziali di accesso;
  • i criteri di computazione e cambio delle credenziali;
  • il divieto di installazione software o applicativi non autorizzati;
  • il divieto di navigazione in siti non attinenti al lavoro e comunque poco sicuri (sempre che il datore non abbia impostato appositi filtri);
  • il divieto di accedere ad eventuali webmail personali;
  • il divieto di apertura di allegati sospetti;
  • le modalità eventualmente consentite per l’archiviazione e/o conservazione in locale o su sopporti mobili di qualsivoglia documento o file contenente dati personali.

L’elenco, che non si pretende esaustivo, non può mancare di chiare indicazioni sul comportamento che il lavoratore agile deve tenere quando riscontri delle criticità. Ad esempio, in caso noti anomalie o blocchi dovuti a virus o malware, potrebbe dover sospendere ogni operazione, chiudere il sistema e le relative applicazioni e informare immediatamente le funzioni IT aziendali.

Accesso ai sistemi aziendali

I titolari devono scegliere un modo sicuro per gestire le connessioni da remoto ai sistemi informatici, rifuggendo da soluzioni a basso costo e prestando particolare attenzione alle specifiche problematiche riconnesse all’uso – ad esempio – di una rete VPN piuttosto che gli accessi ad un sistema cloud based. Si dovrà tener conto non solo dell’evoluzione delle tecnologie a disposizione ma anche di quali tra loro sono da considerarsi esposti ad un maggior cyber-rischio in un determinato “periodo storico”: per citare una macro-categoria funzionale al lavoro a distanza, il 43% dei data breach verificatisi nel 2019 ha riguardato applicazioni web, una percentuale raddoppiata rispetto all’anno precedente (vedasi il recente 2020 Data Breach Investigations Report di Verizon).

Non è questa la sede opportuna per approfondire le caratteristiche delle varie soluzioni disponibili, anche perché ciascuna denota i specifici “pro e contro” ed andremmo per le lunghe. Qui basti ricordare che il datore deve eseguire un accurato assessment sulla serietà del fornitore, sulle condizioni contrattuali e sulle dotazioni/garanzie di sicurezza della tecnologia prescelta. Simili valutazioni sono importanti perché consentire un improvviso e massiccio ricorso lavoro da remoto tramite soluzioni di terza parte significa esporre il sistema aziendale a vulnerabilità tendenzialmente diverse, eterogenee e maggiori rispetto a quelle che caratterizzano un ambiente IT già da tempo architettato, ingegnerizzato e regolamentato quanto a funzionalità, coesistenza e misure di sicurezza.

Alla luce delle più recenti minacce di accesso non autorizzato, laddove possibile appare opportuno comunque introdurre sistemi di strong authentication, come l’autenticazione a 2 fattori (2FA) che impone l’uso di più canali per guadagnare l’autorizzazione all’accesso verso un asset informatico. Dal momento che in ambito lavorativo sarebbe qualificato come eccessivo – tranne rarissime eccezioni di comprovata esigenza – il ricorso a sistemi di riconoscimento biometrico per consentire il login ai sistemi aziendali, sarebbe sufficiente impostare processi di validazione basati sull’imputazione di ID e password personale con conseguente generazione e invio di una one-time password (OTP). Considerata la diffusione dei sistemi di remote banking e il recente adeguamento di tutti gli istituti bancari alla direttiva PSD2 (che impone la validazione di accessi e operazioni tramite 2FA), la maggioranza dei lavoratori dovrebbe riuscire entrare rapidamente in sintonia con una simile modalità di autenticazione.

Per quel che riguarda le linea internet con cui collegarsi ai sistemi aziendali, il lavoratore che si connette tramite da remoto dovrebbe essere informato che:

  • occorre evitare di attingere la connettività domestica da WiFi altrui, o da hot spot sconosciuti oppure pubblici;
  • l’accesso alla rete domestica deve essere protetta da credenziali adeguate (nome di rete non associabile alla persona e password sufficientemente complessa);
  • è necessario verificare che il firmware del proprio router sia debitamente aggiornato (seguendo le istruzioni del fornitore della rete o del modem) perché un modem fuori produzione o privo di update automatici può degradare la connettività e, soprattutto, offrire vulnerabilità che consentono agli hacker di violare l’infrastruttura cui fornisce collegamento.

Attenzione alle e-mail

Il 94% delle minacce informatiche ha ancor’oggi origine dalle e-mail che permangono il veicolo prediletto dai cybercriminali per diffondere malware come backdoor, spyware e ransomware. Il successo degli attacchi via posta elettronica è dovuto al fatto che sfruttano vulnerabilità umane prim’ancora che di sistema; le soluzioni di sicurezza informatica faticano a tenere il passo con tecniche di “abboccamento” che si fanno sempre più raffinate nell’intento di costringere il fattore umano ad infettare l’elemento macchina. Un fattore umano che spesso non conosce nemmeno la differenza tra spam e phishing ma che anche quando più avveduto rischia di cadere in trappole che raggiungono continuamente nuovi livelli di sofisticatezza.

Se mai ce ne fosse stato bisogno, il coronavirus ha evidenziato come i cybercriminali siano spietatamente pronti ad approfittare di qualsiasi debolezza. Fin dall’alba della diffusione dell’epidemia, sono partite numerose campagne di phishing a tema Covid-19 che nel corso di questi mesi hanno finito per mietere un quantitativo impressionante di vittime facendo leva su una diffusa condizione di vulnerabilità psicologica. Le missive si sono presentate sotto svariate mentite spoglie, prevalentemente assumendo le sembianze di:

  • presunti bollettini sanitari;
  • offerte di beni scarsamente reperibili quali farmaci salvavita, dispositivi di protezione individuale, tamponi e test virologici;
  • comunicazioni urgenti di amministrazioni fiscali, previdenziali o sanitarie;
  • comunicazione urgenti di banche;
  • inviti a seguire lo stato di consegna di un acquisto online;
  • inviti a scaricare app di informazione medica o di tracciamento;
  • inviti a sottoscrivere pubblici appelli o petizioni.

Tra computer trasformati in zombie alle dipendenze degli hacker, sistemi presi in ostaggio con richieste di riscatto in bitcoin, password carpite, estremi di pagamento e identità rubate, non si contano gli attacchi andati a segno che hanno colpito sia i dispositivi datoriali che gli strumenti personali utilizzati in lavoro agile, aggiungendo danni e angosce ad un periodo già estremamente complicato per tutti. Una maggiore consapevolezza, unitamente ad un invito alla prudenza nella gestione delle e-mail di provenienza sospetta, avrebbe potuto evitare tanti problemi ad aziende, PA, associazioni e studi professionali nonché ai lavoratori che sono caduti in questa o quella cyber-imboscata.

Per tali ragioni, che lo strumento con cui si lavora da remoto sia aziendale oppure personale, lo smart worker deve essere fortemente invitato a prestare massima attenzione a:

  • la provenienza dei messaggi. Occorre verificare se l’organizzazione cui appartiene il mittente esiste davvero, cercando conferme sul web o sui social media, e se abbia una solida ragione per cercare un contatto con il destinatario o la funzione cui questi appartiene;
  • il tenore del testo. Spesso da una semplice ma attenta lettura, è possibile cogliere incongruenze logiche e di carenze di linguaggio (spesso dovute a traduttori automatici) incompatibili con la credibilità millantata dal mittente. Ciò detto, lo smart worker deve essere consapevole che gli odierni cybercriminali sono in grado di produrre testi e documenti dall’apparenza assolutamente credibile, personalizzando il messaggio in relazione al contesto specifico;
  • la presenza di link sconosciuti o di allegati sospetti. E’ questa la circostanza che deve esser oggetto del vaglio più scrupoloso perché è tramite apertura di link o allegati che si spalancano le porte al malware. E’, una su tutte, molto importante verificare l’estensione dei documenti in allegato. La presenza di un file eseguibile, ad esempio con estensione .exe, dovrebbe essere motivo di allarme.

In caso di dubbio su qualunque delle summenzionate situazioni, il lavoratore deve essere istruito a fermarsi e a chiedere come il da farsi ai propri referenti IT, evitando qualsiasi iniziativa personale.

Il lavoratore agile dovrà, inoltre, prestare attenzione a non inviare per errore informazioni aziendali a terzi non autorizzati a riceverle. Questo principio, tanto generale quanto ovvio, varrà ancor più per coloro che utilizzano uno strumento personale che potrebbe agganciare la rubrica privata anziché quella lavorativa.

Chiarito che lo smart worker deve essere informato sulle condotte da tenere, va da sé che il datore deve aver già implementato un sistema in grado di intercettare la maggioranza dei pericoli riconnessi all’utilizzo delle e-mail. Più si ricorre allo smart working, maggiore è il cyber-rischio e, dunque, più avanzate dovranno essere le soluzioni adottate. Oggi il paradigma dell’e-mail security sta cambiando grazie a prodotti basati sull’intelligenza artificiale che forniscono una comprensione unificata e machine learning del traffico di rete, del cloud e della posta elettronica: i messaggi e i comportamenti incongrui con l’intero contesto informatico aziendale sono bloccati preventivamente e, nel tempo, i falsi positivi sono normalizzati dal sistema allorché questi ne coglie la coerenza o perché appositamente informato dal personale IT.

La diffusione del lavoro agile potrebbe stimolare ulteriormente il mercato della cybersecurity e spingere chi non l’avesse già fatto ad adottare soluzioni basate sull’A.I. per meglio monitorare e proteggere i propri sistemi dalle minacce correlate all’utilizzo di e-mail, intranet e Internet. Ma occorre sempre vagliare tutti gli aspetti in gioco: spesso si tratta di soluzioni sviluppate fuori dalla UE che propongono funzionalità che, se interamente dispiegate, potrebbero consentire una sorveglianza pervasiva degli utenti violando specifiche tutele accordate ai lavoratori dal nostro ordinamento (un aspetto su cui torneremo più avanti). Per questo, lo si ripete, prima di acquistare tool ad impatto privacy è sempre indispensabile sottoporre il prodotto ad un adeguato assessment che consideri ogni riflesso applicativo e regolamentare. Sarebbe assurdo, oltre che frustrante, spendere una somma rilevante su una soluzione di ultima generazione per poi scoprire che la legge non consente di utilizzarne, in toto o parzialmente, le feature che avevano indotto all’investimento.

Precauzioni in luogo pubblico e in trasferta

Lavorare in modalità agile non significa per sforza svolgere le proprie mansioni da casa (tranne, ovvio, che in condizioni di lockdown pandemico). Per questo, è necessario che il datore istruisca lo smart worker circa le precauzioni da adottare quando questi si trovi ad operare in altri contesti extra-aziendali. Precauzioni che, bene precisarlo, il titolare dovrebbe aver comunque già reso per regolamentare le condotte che il lavoratore “ordinario” deve osservare quando è in trasferta.

La questione non deve esser presa alla leggera perché gli incidenti sono frequenti. Uno studio commissionato da CWT, leader mondiale nei servizi di business travel management, ha evidenziato come solo il 22% dei viaggiatori d’affari si senta sicuro di non compromettere i dati aziendali durante le trasferte di lavoro. Le minacce maggiormente temute sono il furto o lo smarrimento di un dispositivo portatile (29%), la scarsa sicurezza di hotspot pubblici (21%), e la difficoltà di proteggere i dati da occhi indiscreti dei compresenti (9%). Il 27% dei viaggiatori italiani ha affermato di aver subito almeno una volta una violazione di sicurezza. L’11% ha dichiarato di aver ricevuto dalla propria azienda diverse comunicazioni formali e indicazioni sulla sicurezza dei dati e di Internet, mentre il 41% ha ricevuto qualche indicazione su cosa non fare.

Il titolare che intenda fornire prescrizioni in merito deve innanzitutto invitare ad un’attenta gestione delle comunicazioni telefoniche in ambienti pubblici (quali, ad esempio, locali, stazioni e mezzi di trasporto) al fine di evitare la captazione di informazioni aziendali da parte di terzi non autorizzati. A tal fine, occorre evitare il ricorso al vivavoce ed usare possibilmente gli auricolari, limitando comunque il tono di voce.

In secondo luogo, occorrerà ricordare l’obbligo di proteggere adeguatamente i documenti e i dispositivi portatili: quando ci si assenta, mai lasciarli in auto, sul sedile in treno mentre e nella stanza di hotel (anche in cassaforte). Gli strumenti elettronici devono, come già detto, essere protetti da password d’accesso e la connessione ai sistemi aziendali da remoto deve essere eseguita seguendo le rigorose prescrizioni del datore. Se necessario, anche in ragione della delicatezza delle mansioni, può essere fatto divieto assoluto di connettersi tramite hotspot pubblici o alberghieri oppure di consentire la connessione solo tramite router mobili forniti dal datore.

Controllo dell’attività lavorativa e obblighi di informativa

Il ricorso, specie se strutturale, al lavoro a distanza può richiedere l’implementazione di apposite soluzioni che favoriscono il networking e/o il monitoraggio della rete aziendale. Più in genere, possono introdursi tutti quegli strumenti mirati al raggiungimento di un’ulteriore livello di efficienza sistemica che renda trascurabile il gap dovuto alla delocalizzazione di una parte degli utenti del sistema aziendale. Queste soluzioni, di regola, registrano eventi informatici generati dal lavoratore che accede al sistema o ad una specifica applicazione; e, dunque, si può porre il problema della possibile sorveglianza delle attività svolte dal lavoratore che opera in modalità agile.

Allo smart working si applica la regolamentazione generale in tema di controlli datoriali, con i suoi capisaldi ma anche – va detto – le sue perduranti incertezze interpretative e correlate complessità applicative.

La L. 81/2017 che disciplina il lavoro agile non fornisce prescrizioni di dettaglio in materia, limitandosi – all’art.21 – a richiamare il rispetto delle previsioni di cui all’art. 4 della L. 300/70 (Statuto dei Lavoratori) che vieta il mero controllo a distanza dei lavoratori se non in presenza di determinate e giustificate motivazioni. Il Jobs Act del 2015, come si ricorderà, ha sancito l’eliminazione del divieto di controllo a distanza della prestazione lavorativa previsto nell’originale formulazione dell’art. 4 dello Statuto dei lavoratori. Ne consegue che le soluzioni tecnologiche dalle quali possa derivare anche un controllo a distanza dell’attività dei lavoratori possono essere utilizzate dal datore di lavoro “per esigenze di carattere organizzativo e produttivo, di sicurezza del lavoro e di tutela del patrimonio aziendale” (che, si ritiene, comprenda gli strumenti aziendali in dotazione al lavoratore e il patrimonio informativo aziendale cui il lavoratore ha accesso).

Prima di poter avvalersi lecitamente di soluzioni tecnologiche da cui derivi la possibilità di effettuare controlli a distanza dei lavoratori, il datore dovrà aver previamente concluso un accordo con le rappresentanze sindacali circa le modalità di utilizzo di tali strumenti (in mancanza, di accordo o di rappresentanze dovrà ottenere la relativa autorizzazione della sede territoriale dell’Ispettorato Nazionale del lavoro). L’obbligatorietà della procedura di concertazione (o di autorizzazione), come stabilito dal novellato art. 4 dello Statuto dei Lavoratori, “non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, vale a dire ai dispositivi che il datore assegna ai propri dipendenti per lo svolgimento della prestazione lavorativa anche da remoto ma, si ritiene, anche ai dispositivi personali che datore e lavoratore abbiano concordato possano essere utilizzati per lavorare fuori dall’azienda.

Ricorrendo una delle esigenze di controllo previste dallo Statuto, il datore di lavoro potrà dunque monitorare lo smart worker tramite gli strumenti di lavoro anche per verificare la sua diligenza nell’adempimento dei propri obblighi, con possibili conseguenze sul piano disciplinare. Tuttavia, a tal riguardo, è di fondamentale importanza ricordare come l’ultimo comma dell’articolo 4 dello Statuto dei Lavoratori stabilisca che le informazioni ottenute “sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196” (e oggi, ancor più, dal GDPR). In assenza di tale informativa, il datore non solo viola la disciplina di privacy ma rende anche censurabile qualsiasi atto disciplinare venga emanato sulla base delle informazioni raccolte tramite controllo a distanza.

Il datore non può tuttavia monitorare sistematicamente l’attività del lavoratore, pertanto è vietato il ricorso a software, webcam e le altre tecnologie digitali direttamente mirate a conoscere se lo smart worker stia lavorando oppure facendo altro. Il Garante Privacy – fin dalle specifiche Linee Guida emanate nel lontano 2007 – ha più volte ribadito come l’accesso indiscriminato agli strumenti in dotazione al personale costituisca un illecito. L’Autorità riconosce la facoltà del datore di lavoro di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti purché ciò avvenga nel rispetto della libertà e la dignità dei controllati nonché nel rispetto della normativa sulla protezione dei dati. Già prima dell’entrata in forza del GDPR, il Garante aveva:

  • affermato che il ricorso a programmi che operano in background, come tali non percepibili dai lavoratori, che consentano una verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail “sono in contrasto con il Codice della Privacy e con lo Statuto dei Lavoratori“ (Provv. 303/2016);
  • chiarito che le modifiche introdotte dal Jobs Act non consentono comunque “l’effettuazione di attività idonee a realizzare (anche indirettamente) il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore“ (Provv. 547/2016).

Laddove legittimi sul piano della disciplina lavoristica, i controlli devono essere comunque operati nel rispetto dei principi di data protection di trasparenza, minimizzazione, proporzionalità, e progressività del trattamento.

Poste queste premesse regolamentari, va detto che in materia non sono mancate anche in tempi recenti interpretazioni e sentenze ondivaghe. La questione, già non semplice, si complica ulteriormente se si considera che l’evoluzione tecnologica corre più veloce delle norme e rende sempre più complessa la distinzione tra ciò che è uno strumento di lavoro e quello che non lo è, tra quello che può inquadrarsi come sistema preordinato al controllo a distanza e quello che solo incidentalmente monitora certe attività. E l’introduzione di soluzioni che consentono un più efficiente svolgimento delle prestazioni in smart working, non può che condurre ad ulteriori problematiche.

Nel 2017 il Gruppo di Lavoro dei Garanti europei WP29 (precursore dell’European Data Protection Board che ha preso il posto del WP29) aveva rilasciato la “Opinion on data processing at work” in cui si evidenziavano i rischi relativi all’adozione delle nuove tecnologie datoriali che rendono possibile tracciare il lavoratore in modo prolungato sia sul posto di lavoro che in un contesto privato.

In tema di monitoraggio della strumentazione informatica dei lavoratori, il WP29 osservava che:

  • stante l’evoluzione delle tecnologie informatiche a disposizione dei datori di lavoro (Data Loss Prevention, Next-Generation Firewalls, Unified Threat Managment, eDiscovery technologies, BYOD), il trattamento dati personali dei lavoratori relativi all’utilizzo della loro strumentazione informatica (es.: e-mail ricevute/inviate; siti web visitati; telefonate effettuate) rappresenta la più grande minaccia per la loro riservatezza;
  • a fronte di ciò, i datori di lavoro dovrebbero valutare specifiche soluzioni volte a prevenire il ricorso ad accessi “successivi” ai dati dei lavoratori (presenti, ad esempio, nella loro cronologia web e/o nella casella di posta elettronica) e dovrebbero, a titolo esemplificativo, adottare soluzioni che limitino l’accesso indiscriminato ai dati, sia per tipologia sia per orizzonte temporale (quali potrebbero essere i filtri web);
  • i datori di lavoro potrebbero ritenere di essere legittimati ad utilizzare pacchetti software (sia in modalità locale che in cloud) in grado, ad esempio, di registrare i tasti premuti e i movimenti compiuti dal mouse, di acquisire schermate visualizzate (in maniera causale o a intervalli prestabiliti), di registrare le applicazioni utilizzate (e la durata del loro impiego) nonché, su dispositivi compatibili, di attivare telecamere web e raccogliere così filmati registrati. Tali trattamenti sono da ritenersi in via di principio sproporzionati e quindi non lecitamente utilizzabili;
  • se i confini tra l’uso aziendale e privato di uno strumento sono labili, occorre soppesare il rischio con uno specifico livello di attenzione;
  • se lo strumento utilizzato per eseguire le mansioni è di proprietà del lavoratore (BYOD), il datore che implementi una qualche applicazione che ne permetta il controllo dovrebbe inibirne la capacità di accesso a partizioni del dispositivo che si presume vengano utilizzate esclusivamente per scopi privati (ad es., la cartella immagini).

Nella medesima Opinion, il WP29 ha anche reso indicazioni in tema di Mobile Device Managment, ossia di quelle tecnologie che consentono al datore di lavoro di gestire da remoto i dispositivi mobili affidati ai lavoratori, ad esempio, tracciandone la geolocalizzazione, installando a distanza applicazioni, inserendo o cancellando documenti. Il WP29 ha previsto che ciascun datore di lavoro debba effettuare un Data Protection Impact Assessment (DPIA o valutazione d’impatto ex art. 35 GDPR) prima di avviare il progetto di remote management, al fine di verificare i rischi, la necessità del trattamento rispetto alle finalità perseguite e il rispetto dei principi di proporzionalità e sussidiarietà. Il datore di lavoro deve, da un lato, dimostrare che l’utilizzo di tali tecnologie informatiche non è finalizzato all’esclusivo controllo dell’attività dei lavoratori e adottare criteri di minimizzazione del trattamento in modo che i dati personali relativi ai dispositivi mobili dei lavoratori siano raccolti solo quando indispensabile (ad esempio, geolocalizzazione ad intervalli o attivata in caso di furto/smarrimento del device).

La posizione espressa dal WP29 conferma che, anche in relazione allo smart working, l’adozione di sistemi che consentono attività di controllo a distanza devono, a prescindere dalla disciplina giuslavoristica, essere oggetto di un attento vaglio sotto il profilo della disciplina di privacy. A conferma di ciò, il Garante Privacy ha, con l’importante Provvedimento n. 467/2018, incluso nell’elenco dei trattamenti da assoggettare a DPIA i “Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”. In assenza di chiarimenti interpretativi autentici, ad oggi non pervenuti, la portata della disposizione sembra molto estesa al punto da far ritenere che qualsiasi tecnologia permetta una qualche forma – anche derivata – di controllo a distanza debba preventivamente essere sottoposta ad una valutazione di impatto privacy.

L’esecuzione di un DPIA è, peraltro, strumentale all’individuazione legal ground della corretta del trattamento (è bene ricordare che il GDPR fornisce – agli artt. 6 e 9 – un elenco di basi giuridiche ed impone al titolare che di determinare su quale di esse poggi ciascuna attività di trattamento). In un contesto come quello lavorativo il presupposto di liceità di un’attività da cui possa derivare un controllo da remoto non può essere né il consenso dei dipendenti (in considerazione della natura asimmetrica del rapporto tra datore e lavoratore) e nemmeno l’esecuzione del contratto di lavoro (essendo, di regola, il controllo remoto un’attività del tutto eventuale e non funzionale alla fattispecie negoziale). Qualora non ricorrano altri presupposti (è infatti raro che si debbano effettuare monitoraggi a distanza in adempimento di obblighi di legge o in esecuzione di un compito di interesse pubblico), il più delle volte la base giuridica consisterà nel “legittimo interesse” (art. 6, par. 1, lett. e GDPR) che il datore intende perseguire in relazione a una o più tra le “esigenze di carattere organizzativo e produttivo, di sicurezza del lavoro e di tutela del patrimonio aziendale” di cui all’art. 4 dello Statuto dei Lavoratori.

Il problema per il datore è che le esigenze sottese al perseguimento di un legittimo interesse devono essere comprovate. Qualora un datore di lavoro intenda basare il trattamento su un suo legittimo interesse la finalità del trattamento deve essere lecita, il metodo scelto o la tecnologia specifica devono essere necessari, proporzionati e attuati nella maniera meno intrusiva possibile, e il datore di lavoro deve essere in grado di dimostrare che sono state adottate misure appropriate per garantire un equilibrio rispetto ai diritti e alle libertà fondamentali dei dipendenti (vedasi, sul punto, il Considerando 47 del GDPR nonché il Parere 6/2014 sul concetto di interesse legittimo del WP29). Alla luce di tutto questo, pare evidente che il DPIA (anche laddove non fosse obbligatorio) è lo strumento ad alto valore di accountability che può consentire al datore di dimostrare che il trattamento da cui può derivare il controllo del lavoratore si basa su un legittimo interesse giustificato da specifiche esigenze ed è, al contempo, eseguito nel rispetto dei diritti dello smart worker.

Infine, non può ignorarsi un passaggio del Considerando 47 del GDPR: “In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali.”. Si conferma ulteriormente, se mai ce ne fosse bisogno, che la trasparenza gioca un ruolo decisivo, e un DPIA sui trattamenti da cui derivi un controllo datoriale dello smart worker dovrebbe riferire adeguatamente riguardo le iniziative intraprese in merito.

Riassumendo, prima di implementare soluzioni che consentano forme di controllo delle attività svolte in lavoro agile, il datore di lavoro deve:

  • valutare che la tecnologia – o meglio, l’utilizzo che se ne intende fare – sia conforme a quanto previsto dallo Statuto dei Lavoratori;
  • effettuare una DPIA sui trattamenti che possono generare attività di controllo per valutarne la fondatezza della base giuridica e la rispondenza ai principi di minimizzazione, proporzionalità, e progressività e il rischio residuo;
  • nel caso l’esito della DPIA evidenzi un rischio elevato per i diritti e le libertà dei lavoratori, e si voglia comunque procedere con l’implementazione, provare ad interpellare il Garante tramite lo strumento della consultazione preventiva di cui all’art. 36 GDPR;
  • informare puntualmente i lavoratori sul funzionamento della tecnologia, sulle modalità di controllo e su eventuali opzioni a sua disposizione.

Diritto alla disconnessione

La tecnologia continua a rivoluzionare il mondo del lavoro. Nel periodo emergenziale che stiamo vivendo, il suo potere rivoluzionario si traduce in un’imprevista quanto esponenziale accelerazione verso la commutazione in smart working di quelli che erano lavori d’ufficio. Questo – come considerato a più riprese in questo scritto – non si può pretendere avvenga senza che si producano conseguenze ed effetti collaterali. Tra i collateral c’è la pervasività della tecnologia stessa.

Il tema della perdita di confini spazio-temporali in cui il lavoratore si trova, spesso suo malgrado, a rendersi disponibile non è strettamente legato al lavoro agile perché sussiste fin da quando abbiamo deciso di possedere (o farci dotare di) uno smartphone in grado di ricevere e-mail aziendali. Ma è evidente che operare stabilmente a distanza non può che esacerbare questo tipo di dipendenza/asservimento a vivere in modalità always on il rapporto lavorativo: si finisce per rendersi responsive senza limiti di orario ad ogni tipo di input informativo, di richiesta o di necessità proveniente dall’organizzazione del titolare (o da terze parti che vi ruotano attorno). Come se ciò non bastasse, siccome il lavoro agile è spesso strutturato al raggiungimento di obiettivi, è lo smart worker a divenire progressivamente incline ad una produttività senza orari (e magari, per questo, si aspetta egli stesso un pronto feedback da un collega alle dieci di sera).

Questo stato di iper-disponibilità tecnologica può finire per comprimere eccessivamente quella sfera di privatezza di cui ogni essere umano ha bisogno per coltivare in autonomia la propria indole e personalità, generando derive malsane. Per questo si è arrivati ad affermare che avere la possibilità di preservare un spazio/tempo personale sia un diritto. Un diritto che si sostanzia anche nella facoltà di mettersi in uno status di irraggiungibilità.

Poter disconnettersi senza temere ritorsioni datoriali significa porsi al riparo da condizioni che possono condurre a forme di “info obesità” e di “tecnostress”, ossia a patologie di nuova generazione riconnesse ad un eccesso di connettività. In pratica, il diritto in questione consente di “staccare la spina” o “mettersi offline” fuori dall’orario di lavoro concordato (e pazienza se poi molta gente, appena finito di lavorare, va subito a controllare i social o si metta a per ore messaggiare: su questo la legge nulla può… e, se affetti da grave bulimia digitale, bisogna aiutarsi da soli o chiedere un supporto psicologico specialistico).

Introdotto tra i primi in Francia, il così detto “diritto alla disconnessione” consiste nell’obbligo gravante sul datore di lavoro di garantire ai propri dipendenti il diritto di non dover consultare comunicazioni di lavoro su device personali o aziendali una volta che è terminato l’orario d’ufficio.

Oggi, anche in Italia, molti accordi aziendali e CCNL prevedono disposizioni in merito e la L. 81/2017 che disciplina il lavoro agile, al comma 1 dell’art. 19, stabilisce che l’accordo con il lavoratore “individui tempi di riposo del lavoratore nonché le misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche di lavoro”. Posto che, come detto, l’obbligo di sottoscrizione di un accordo individuale con il lavoratore è temporaneamente sospeso fino al termine dell’emergenza Covid-19, il principio resta valido e il diritto deve essere garantito.

Non è un caso che, nell’audizione presso la Commissione Lavoro del Senato del 13 maggio 2020, il Garante ha tenuto a ribadire l’importanza di “(…) quel diritto alla disconnessione, senza cui si rischia di vanificare la necessaria distinzione tra spazi di vita privata e attività lavorativa, annullando così alcune tra le più antiche conquiste raggiunte per il lavoro tradizionale”.

Policy specifiche e formazione a distanza

Per concludere la rapida panoramica sui diversi aspetti di privacy e cybersecurity riconnessi alla nuova dimensione raggiunta dallo smart working per effetto dell’emergenza epidemiologica, è bene ricordare quanto essi richiedano specifica focalizzazione da parte del datore di lavoro e di apposita regolamentazione. Occorre, in poche parole, rivedere le proprie procedure e predisporre/integrare policy/istruzioni ad hoc per il compimento delle attività sui dati in regime di lavoro agile.

Oltre a ciò, sarebbe di assoluta utilità predisporre moduli di formazione specifici sull’argomento affinché gli smart worker siano pienamente consapevoli delle specifiche modalità tramite cui sono chiamati a svolgere le mansioni a distanza e dei rischi riconnessi al contesto extra-aziendale.

Infine, è di interesse per entrambe le parti che il titolare identifichi un riferente che il personale agile possa rapidamente contattare per esporre i propri dubbi o segnalare criticità in atto. Delocalizzare il posto di lavoro può significare, per il datore, perdere una significativa quota di controllo su quello che accade nella sua organizzazione, e per il lavoratore, perdere i riferimenti tipici di un contesto fisico frequentato magari per anni. Ascoltare gli smart worker sarà importante, anche per capire quali aspetti possono essere migliorati e quali strumenti possono meglio asservire le nuove esigenze.

Prevenzione del burn-out

L’incapacità o impossibilità di disconnettersi adeguatamente dalla strumentazione lavorativa può, oltre che comprimere lo spazio riservato a sé stessi, concorrere all’insorgenza di uno stato perdurante di stress che può incidere negativamente sul benessere individuale e, quindi, sulla qualità dell’apporto lavorativo. Allargando il campo, si può affermare che in alcuni casi, sempre meno rari, il malessere dovuto alla pressione lavorativa può assumere rilevanza clinica.

Il burn-out (traducibile in “surriscaldamento”, “bruciatura” o “esaurimento”) è una condizione di disagio che può definirsi patologica essendo stata recentemente rubricata dall’OMS tra i “Fattori che influenzano la salute” nella International Classification of Diseases. Il burn-out, in estrema sintesi, è una psicopatologia del lavoro che nasce in conseguenza dello stress e che è in grado di deteriorare l’impegno verso il lavoro, le emozioni positive legate al lavoro, la capacità di adattamento al lavoro. E può essere contagiosa perché un lavoratore esaurito può facilmente affaticare i propri colleghi qualcuno dei quali potrebbe bruciarsi a sua volta innestando una reazione a catena.

Si tratta di una sindrome in costante aumento tra i lavoratori dei paesi tecnologicamente avanzati dove negli ultimi anni si sono verificati cambiamenti sostanziali nel modo in cui si lavora. Lo smart working rappresenta indubbiamente uno di questi cambiamenti e può produrre nel lavoratore agile effetti contrastanti a seconda di come viene impostato e gestito. Può infatti produrre benefici nel work/life balancing liberando il lavoratore dallo stress ambientale che riconducibile alla vita d’ufficio, ma può anche indurre un eccesso di disponibilità, di coinvolgimento e/o di straniamento o alienazione. Il problema può derivare non solo da un senso di continua reperibilità, ma anche dalla biologica incapacità di sostenere determinati ritmi di engagement a distanza, tipicamente per chi svolge mansioni/professioni che richiedono un alto tasso di interazione con altre persone.

Il lockdown dovuto alla pandemia di Covid-19 ha fornito un esempio chiaro di un elemento che può rivelarsi tossico per il benessere lavorativo e quindi per le performance individuali e, in ultima analisi, per la produttività complessiva. Molti lavoratori hanno lamentato disagi riconnessi al fatto di esser chiamati ad un team overworking vissuto a distanza. In particolare, è emersa l’impossibilità di riuscire a partecipare in maniera efficiente a video riunioni dalla durata eccessiva perché la qualità della concentrazione scema ben più rapidamente che nei meeting d’ufficio. Lavorare con altri, ripetutamente e a lungo, in una virtual room comporta un sostanzioso dispendio energetico perché al partecipante è richiesto uno sforzo dedicato per interpretare segnali che solitamente sono processati in modo automatizzato come espressioni facciali, tono della voce, linguaggio del corpo: possiamo vedere e sentire, ma la percezione è totalmente differente e comporta affaticamento. Ad aumentare il disagio, come ciascuno di noi avrà sperimentato, può intervenire la scarsa qualità della telecomunicazione che costringe ad un’ulteriore sforzo di concentrazione e talora può instillare un atteggiamento negativo (uno studio ha dimostrato come siano sufficienti 1.2 secondi di ritardo audio/video non solo per degradare l’attenzione ma anche per favore un giudizio ostile sull’interlocutore). Si pensi poi agli effetti che possono, ad esempio, prodursi da un appunto personale mosso in video call multipla: in un simile contesto, un alterco o un rimprovero può tradursi in un gravame irrisolto nell’animo dei lavoratori psicologicamente più delicati (il superiore probabilmente non passerà a darti una pacca sulla spalla per dirti che voleva solo spronarti… e penserai che i colleghi di smart working non appena chiusa la call staranno già raccontando ai familiari l’umiliazione cui hanno assistito anziché sdrammatizzare con te l’accaduto davanti al dispenser del caffè).

Il benessere psicologico, la capacità di lavorare in team e la produttività sono elementi strettamente legati; per questo, è bene che il datore di lavoro che ricorre ampiamente allo smart working non dimentichi di valutare e prevenire le condizioni che possono indurre tecnostress e burn-out. Nel farlo, converrà anche tener conto che i summenzionati fattori di affaticamento non di rado possono impattare negativamente su condizioni soggettive già caratterizzate da una certa fragilità psicologica. L’evenienza può ricorrere laddove il lavoratore agile:

  • si trovi ad operare in uno stato prolungato di isolamento sociale o di conflittualità familiare;
  • e/o percepisca la messa in smart working come l’anticamera di possibili tagli al personale.

Lo smart worker che dovesse trovarsi in queste condizioni potrebbe più di altri mal tollerare le difficoltà del relazionarsi a distanza essendo già minate le sua capacità di coping, termine che indica l’insieme dei meccanismi psicologici adattativi messi in atto da un individuo per fronteggiare problemi emotivi ed interpersonali, allo scopo di gestire, ridurre o tollerare lo stress ed il conflitto.

Ci si potrebbe chiedere cosa c’entri la protezione dati in tutto questo. Semplice, uno smart worker esaurito è maggiormente incline a non comprendere un’istruzione, o a commettere errori oppure, nei casi più gravi, a sabotare l’organizzazione. E se è vero che chiunque lavora effettua trattamenti di dati per conto del datore di lavoro, non sfugge come tali negatività possano ripercuotersi sia sul patrimonio informativo dell’azienda e sia sui diritti di privacy degli individui cui i dati si riferiscono.

Ci sono aziende particolarmente evolute che hanno già messo a fuoco queste problematiche: alcune sottopongono i lavoratori a eventi formativi periodici in tema di prevenzione dello stress tecnologico e della sindrome di burn-out, altre mettono a costante disposizione un supporto psicologico. Certo, non tutti management avranno lungimiranza e soprattutto budget per avviare iniziative del genere. Ma si potrebbe incominciare col fornire qualche informazione al personale sui rischi i questione e introdurre qualche semplice regola che, ad esempio, disponga che le riunioni online non superino in genere i 45 minuti di durata e che inviti al mantenimento di toni pacati e collaborativi, sia per favorire una maggiore comprensione a distanza sia per impedire che la fatica si traduca in disagio, ostilità, inaffidabilità.

Conclusione

Veniamo da una fase emergenziale in cui in tanti, nel ricorrere al lavoro agile, ci si è affidati all’improvvisazione, all’applicazione analogica delle regole tradizionali, e alla buona fede di ciascuno. Ora è importante regolamentare, diffondere consapevolezza e, finché la transizione non sarà assimilata, rispondere ai dubbi di ciascuno e dialogare day-by-day. Solo così lo smart working potrà levarsi di dosso il sospetto di essere una fonte di pericolo per i dati aziendali e, al contempo, per i diritti dei lavoratori. Solo così la modalità agile potrà affermarsi come risorsa di ottimizzazione del lavoro e come soluzione per un nuovo bilanciamento sociale. Perché se siamo destinati a vivere un’epoca fluida sempre più dominata da automatismi digitali e forme di intelligenza artificiale, dobbiamo impegnarci nel preservare spazi che garantiscano sostentamento e, al contempo, un equilibrato sviluppo della personalità umana. E, possibilmente, trovarne di nuovi.

Se è vero che è nella natura stessa delle emergenze indurre rapidi cambiamenti destinati a restare, questa è un’occasione da non perdere per provare ad anticipare alcune delle sfide decisive che ci saranno ineluttabilmente riservate. L’innovazione digitale divora occupazione. Il progresso tecnologico tende a trasformare ed “efficientare” quasi tutti i processi; non guarda in faccia a nessuno e ha messo seriamente nel mirino attività, ruoli e mansioni che, fino a pochi anni fa, si credeva solo gli umani potessero ricoprire. Le applicazioni machine learning nel giro di pochi anni potrebbero ridurre all’osso il numero di addetti necessari all’operatività di svariate funzioni, a prescindere dall’oggetto sociale dell’organizzazione. Non solo produzione ma anche contabilità e finance, H.R., gestione fornitori, marketing, customer care, recupero crediti, e altri ancora (tanto più se volessimo considerare i servizi della PA): non c’è area esente da progetti che prevedono il ricorso all’intelligenza artificiale come forma di surrogazione dell’apporto antropico.

Se questo è lo scenario cui siamo destinati ad approdare in un orizzonte temporale nemmeno troppo lontano, si porrà una pressante questione di sopravvivenza: dovremo trovare il modo di lavorare meno, lavorare meglio, lavorare tutti. Lo smart working sarà, com’è facile arguire, un fattore cardinale di questo processo evolutivo e occorre fin d’ora preoccuparsi di definirne un uso accettabile.