Con l’aumento della popolarità dello smart working, che consente ai dipendenti di lavorare in remoto utilizzando la tecnologia digitale, si pone l’importante questione del trattamento dei dati personali dei dipendenti. Mentre lo smart working offre numerosi vantaggi in termini di flessibilità e produttività, è essenziale garantire che i dati dei dipendenti siano adeguatamente protetti e trattati nel rispetto delle normative sulla privacy.
Lo smart working
Il termine di matrice anglosassone “smart working” fa riferimento ad una modalità di lavoro che permette ai dipendenti di svolgere la prestazione lavorativa in modo flessibile e da remoto, utilizzando strumenti informatici connessi ad Internet, consentendo ai dipendenti di lavorare da casa, da uno spazio di coworking o da qualsiasi altro luogo posto al di fuori degli spazi aziendali. Tale tipologia di lavoro è stato disciplinata in Italia dalla Legge n. 81/2017, che definisce il “lavoro agile” una “nuova modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti”, “senza precisi vincoli di orario o di luogo di lavoro”. I termini lavoro agile e smart working vengono spesso utilizzati come sinonimi.
Nel dicembre del 2021 il Ministero del Lavoro e delle Politiche Sociali ha raggiunto un accordo con le Parti sociali per il primo “Protocollo Nazionale sul lavoro in modalità agile” nel settore privato con il quale si stabilisce, tra l’altro, che l’adesione allo smart working avviene su base volontaria ed è subordinato alla sottoscrizione di un accordo individuale e regola il “diritto alla disconnessione”.
Nel Protocollo inoltre ampio spazio è dato alla protezione dei dati personali e alla riservatezza dei dipendenti. L’art. 12, infatti, dopo aver declinato gli obblighi di questi ultimi, richiamando molti dei principi cari al GDPR, definisce gli adempimenti per il datore di lavoro. È da rilevare che, tra i già noti adempimenti in tema di data protection, sia menzionata l’esecuzione della valutazione d’impatto (DPIA) in relazione agli strumenti utilizzati per lo smart working al fine di verificare che siano conformi ai principi di privacy by design e by default (art. 25 GDPR).
Questa opzione offre maggiori possibilità di conciliare lavoro e vita personale, riduce i tempi di spostamento e può migliorare la produttività dei dipendenti.
Protezione dei dati dei dipendenti
In questo contesto “diffuso”, oltre ai tradizionali dati per la costituzione e la gestione del rapporto di lavoro (nome, cognome, indirizzo, numero di telefono, ecc.), i datori di lavoro possono raccogliere altre tipologie di dati riferibili ai dipendenti. Questi includono informazioni relative all’attività lavorativa, come orari di lavoro, accesso ai sistemi aziendali (log) e comunicazioni via email.
La protezione dei dati dei dipendenti è fondamentale per garantire la privacy e prevenire l’abuso delle informazioni personali per fini ulteriori. Il Garante per la Protezione dei Dati Personali, nelle note “Linee guida per posta elettronica e internet” risalenti al marzo 2007, aveva già dato indicazioni fondamentali sul tema: tale documento, ancorché riferito al previgente quadro normativo, contiene principi e indicazioni ancora validi, in quanto non incompatibili con il Regolamento (UE) 2016/679 (GDPR). I datori di lavoro devono adottare misure di sicurezza adeguate a proteggere i dati dei dipendenti da accessi non autorizzati, perdite o violazioni: tali misure possono includere l’utilizzo di crittografia, l’accesso limitato ai dati solo a persone autorizzate e la sicurezza delle reti e dei dispositivi utilizzati dai lavoratori.
Di seguito si elencano alcuni suggerimenti pratici per garantire un adeguato trattamento dei dati dei dipendenti in smart working:
- l’adozione di chiare policies e di un’adeguata informativa ai dipendenti: le aziende dovrebbero sviluppare politiche chiare e trasparenti per la protezione dei dati dei dipendenti tese a definire le modalità di raccolta, l’uso e la conservazione dei dati personali, nonché le misure di sicurezza adottate per proteggerli. Al dipendente deve sempre essere resa l’informativa contenente, oltre le caratteristiche essenziali del trattamento dei dati personali effettuato dal datore di lavoro (art. 13 GDPR), anche le indicazioni relative ad un eventuale tracciamento delle attività dei dipendenti (V. n. 4);
- la limitazione dell’accesso ai dati: solo il personale autorizzato dovrebbe poter aver accesso ai dati dei dipendenti che pertanto dovrebbe essere limitato con l’ausilio di misure di sicurezza adeguate a garantire un accesso sicuro ai sistemi aziendali (security by design);
- la sicurezza dei dispositivi: i dipendenti in smart working utilizzano spesso dispositivi personali per accedere alle risorse aziendali. Le aziende dovrebbero assicurarsi che i dispositivi abbiano adeguati sistemi di protezione (antivirus e firewall) e provvedere alla fornitura di reti virtuali private (VPN) per garantire la protezione dei dati durante la trasmissione;
- il monitoraggio responsabile: nel contesto dello smart working, può essere necessario monitorare l’attività dei dipendenti per valutare la produttività o garantire la conformità alle politiche aziendali. Tuttavia, il monitoraggio deve essere proporzionato, trasparente e rispettoso della privacy dei dipendenti che devono essere informati delle modalità di un eventuale monitoraggio: l’adempimento degli obblighi informativi nei confronti dei dipendenti costituisce una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, comma 3, Statuto dei Lavoratori);
- la formazione sulla sicurezza informatica: le aziende dovrebbero fornire regolarmente corsi di formazione sulla sicurezza informatica e sulle best practices ai dipendenti per aiutarli a riconoscere potenziali minacce e adottare comportamenti sicuri durante il lavoro da remoto. La consapevolezza dei dipendenti riguardo alle minacce alla sicurezza informatica, come il phishing o l’uso non autorizzato dei dispositivi aziendali, è fondamentale per prevenire le violazioni dei dati.
Conclusioni
Il periodo della pandemia da COVID-19 ha rappresentato un momento cruciale per l’adozione dello smart working da parte di molte aziende ed ha evidenziato i diversi effetti positivi sul benessere dei lavoratori, ma anche sull’ambiente.
In un recente studio di ENEA (Agenzia nazionale per le nuove tecnologie, l’energia e lo sviluppo economico sostenibile) è emerso che il lavoro a distanza permette di evitare l’emissione di circa 660 Kg di anidride carbonica all’anno per lavoratore, con notevoli risparmi di tempo (circa 150 ore), distanza percorsa (3500 km) e carburante (260 litri di benzina e 237 di gasolio).
La “sostenibilità” è tra le priorità del piano “Green Deal” della Commissione europea che si propone di ridurre del 90% le emissioni di gas a effetto serra prodotte dai trasporti entro il 2050.
Questi importanti obiettivi possono essere raggiunti anche attraverso la “delocalizzazione” dei dipendenti che non hanno la necessità di svolgere la prestazione lavorativa nei locali aziendali. Sempre più aziende stanno andando in questa direzione, anche per ridurre drasticamente i costi, sostenendo ingenti investimenti per la digitalizzazione e l’automazione. Ma in questo contesto evolutivo resta prioritario per i datori di lavoro garantire la protezione dei dati personali dei propri dipendenti, che può essere assicurata solo attraverso un approccio olistico e responsabile, realizzando in tal modo un ambiente di lavoro remoto sicuro e rispettoso della privacy.