Smart Working e difesa della privacy
In tema di Smart Working o “Lavoro Agile”, disciplinato dalla Legge n. 81/2017 – Capo II 1, adottata presso l’azienda a partire dal 12 marzo 2020, è sempre doveroso prestare costante attenzione alla protezione dei dati personali, adottando in qualsiasi occasione, lavorativa e privata, un comportamento improntato alla difesa della privacy.
E’ necessario a riguardo fare sempre riferimento ai contenuti delle informazioni fornite ex artt. 13 e 14 Regolamento UE 2016/679 del 27 aprile 2016 e alle norme di armonizzazione per il trattamento dei dati personali e categorie di dati personali dei dipendenti.
La predisposizione da parte del datore di lavoro di Linee Guida interne sulle strumentazioni informatiche fornite oltre ad un’adeguata informativa, costituiscono attività prodromiche all’instaurazione di un rapporto smart. Inoltre, poiché lo stesso accordo di Smart Working dovrà rivestire la forma scritta ai fini della regolarità amministrativa e della prova, contestualmente o unitamente al predetto accordo sarà opportuno fornire al lavoratore la prescritta informativa (concisa e trasparente e dovranno esservi indicate le modalità di utilizzo delle dotazioni aziendali).
Il lavoratore dovrà inoltre essere dettagliatamente informato circa:
- le modalità e le finalità dell’accesso e dei controlli da parte del datore di lavoro, (le operazioni di back-up, per l’analisi di sistema o per fini di sicurezza, nonché l’indicazione dei soggetti autorizzati a trattare tali dati o per la tenuta dei file di log.);
- le modalità e la durata della conservazione dei dati raccolti nonché l’utilizzabilità degli stessi a fini disciplinari.
Il datore di lavoro ha quindi il diritto di effettuare controlli mirati, indirettamente o attraverso la propria struttura, al fine di verificare il corretto utilizzo degli strumenti di lavoro, rispettando però la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali dettata dal d. lgs. n. 196 del 2003, i principi di correttezza, di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice.
Vige inoltre, in relazione all’art. 4 dello Statuto dei Lavoratori: “il divieto assoluto per il datore di lavoro di utilizzare impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”.
Nel Regolamento UE n. 2016/679 sulla protezione dei dati personali vi è inoltre un chiaro riferimento alle misure di sicurezza che già vengono menzionate nell’art. 24 quando si chiarisce che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability).
Il titolare del trattamento e il responsabile del trattamento devono quindi mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, prevedendo:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
La documentazione inerente all’attività lavorativa dovrà risiedere esclusivamente sulle cartelle di rete, poiché tale modalità operativa è ritenuta adeguata a garantire che il trattamento è effettuato conformemente al Regolamento.