Intervista a Luigi Pedrotta, CEO di Lan & Wan Solutions, su come gestire dati, privacy e controlli in tempi di lavoro agile e coronavirus
Il ricorso massiccio allo smart working per far fronte all’emergenza coronavirus può rivelarsi una grande opportunità per aziende e lavoratori: questa forma di prestazione di lavoro mette al centro del rapporto tra le parti la fiducia, come leva per ottenere più produttività ma anche più flessibilità nella gestione del tempo e dello spazio. Tuttavia, il modo necessariamente improvvisato con cui ci si è avvicinati a questo strumento nasconde alcune criticità, come ad esempio la protezione dei dati e della privacy o la gestione dei controlli sul lavoratore. Ne abbiamo parlato con il nostro CEO, ing. Luigi Pedrotta.
Per iniziare, qual è la giusta definizione e come dobbiamo correttamente inquadrare lo smart working?
Pedrotta: Prima di tutto chiariamo che smart working, non è sinonimo di telelavoro, lavoro da casa o lavoro da remoto. Smart working significa mettere i dipendenti nella condizione di lavorare nel modo più facile possibile (smart). Non solo, quindi, dal proprio ufficio, ma anche da casa, in trasferta, in vacanza, slegandosi non solo dal luogo di lavoro, ma anche dal mezzo stesso utilizzato. Potrò quindi lavorare con postazioni fisse, con il pc di casa come con quello aziendale o con un eventuale notebook, thin client, tablet e in certi casi persino con lo smartphone.
Smart working, non è sinonimo di telelavoro, lavoro da casa o lavoro da remoto. Smart working significa mettere i dipendenti nella condizione di lavorare nel modo più facile possibile (smart)
Oltre all’operatività, però, ci sono altri aspetti importanti da salvaguardare: la protezione del dato e la protezione della privacy dello smart worker.
P: Purtroppo, su questi argomenti registro una grande disinformazione e molti luoghi comuni.
E’ sbagliato pensare che la situazione attuale ci giustifichi dal non continuare a seguire le linee guida della normativa europea del GDPR. La privacy non è né un ostacolo all’efficace azione di prevenzione dal contagio né, tantomeno, un lusso cui, secondo taluni, si dovrebbe rinunciare in tempi di emergenza.
Bensì è un diritto di libertà che, come ogni altro diritto fondamentale, è soggetto a un bilanciamento con altri beni giuridici. L’emergenza può, a mio parere, contemplare ogni deroga possibile, purché non irreversibile: non dev’essere quindi un punto di non ritorno, ma un momento in cui modulare prudentemente il rapporto tra norma ed eccezione.
La privacy non è né un ostacolo all’efficace azione di prevenzione dal contagio, bensì un diritto di libertà che, come ogni altro diritto fondamentale, è soggetto a un bilanciamento con altri beni giuridici.
In tempi di Coronavirus quali sono gli step da seguire per vagliare un nuovo trattamento dati oppure quando lo stesso trattamento subisce delle modifiche?
P: Se effettuo un nuovo trattamento dati o se la mia modalità di trattamento cambia, dovrei eseguire le stesse analisi fatte a suo tempo per rispettare l’art. 32, ovvero l’attuazione delle Misure Idonee Tecnologiche ed Organizzative, al fine di preservare un corretto trattamento dei dati, cercando di evitare, nell’ambito delle effettive possibilità, eventuali data breach.
Senza scendere troppo nei dettagli, questi i macro step da seguire:
- Assessment Organizzativo – come cambia la mia organizzazione rispetto a prima? Devo fare delle integrazioni nelle nomine o nelle informative? Devo fare delle modifiche nelle policy aziendali? Devo cambiare alcuni regolamenti interni in base al nuovo modus operandi? E così via …
- Assessment Tecnologico – molto importante perché il lavoro a distanza potrebbe introdurre nuovi rischi rispetto a prima: aumentano in maniera esponenziale le connessioni che da luoghi remoti (abitazioni dei dipendenti), arrivano nel network aziendale, magari con dispositivi su cui l’azienda non ha nessun controllo. Tutto questo può decuplicare le possibilità di subire attacchi informatici che possono andare dal furto di dati alla non disponibilità degli stessi.
- Registro Trattamento Dati – inevitabilmente dovrò mettere mano a questo Registro perché, anche se il numero dei trattamenti dati non cambia, cambia sicuramente la modalità di accesso al dato e di conseguenza è corretto aggiornarlo con queste informazioni.
- Valutazione d’Impatto del Trattamento Dati – nel caso in cui il trattamento dei dati assoggettati al nuovo modus operandi riguardi una gran quantità di individui o siano dati particolarmente “sensibili”, è sempre opportuno rivedere la matrice dove viene effettuata la valutazione d’impatto del trattamento, per capire quali siano i rischi reali che incombono sul trattamento stesso.
- Analisi dei Rischi – L’analisi dei rischi altro non è che un’ulteriore matrice dove far collassare tutti gli step precedenti: andrò ad identificare i vari rischi dando delle valutazioni in base alla frequenza con la quale potrebbero avvenire ed in base al danno in valore assoluto che gli stessi potrebbero produrre.
- Piano adozione Misure Idonee Tecnologiche ed Organizzative – Una volta identificati tutti i nuovi rischi introdotti dallo smart working, si troverà una strategia aziendale che comporti l’attuazione di una serie di nuove misure idonee per calmierare i nuovi rischi. La priorità sull’attuazione dipenderà ovviamente da una serie di fattori identificati nell’analisi dei rischi, tra cui la disponibilità di budget per adottare le contromisure richieste.
Passiamo ora a un altro ambito delicato, quello del controllo del lavoro a distanza. Da questo punto di vista le aziende e i lavoratori sono pronti a gestire correttamente lo smart working?
P: Il datore di lavoro ha il diritto-dovere di svolgere controlli sul corretto svolgimento della prestazione dei propri dipendenti, a patto che siano rispettati i limiti fissati dagli articoli 2, 3 e 4 dello Statuto dei lavoratori. Nello specifico l’articolo 4 fissa un principio molto rigoroso: sono vietati l’installazione e l’uso di apparecchiature tecnologiche per controllare a distanza l’attività lavorativa del dipendente, a meno che non ci sia un accordo sindacale o un’autorizzazione dall’Ispettorato territoriale del lavoro.
Il Jobs Act del 2015, recita all’articolo 23, che queste restrizioni non si applicano agli «strumenti di lavoro», ma al momento prevale una lettura restrittiva di questa esenzione. La riforma del 2015 ha aggiunto un ulteriore elemento: i dati e le informazioni ottenuti tramite gli strumenti di controllo a distanza sono utilizzabili «ai fini del rapporto di lavoro» solo a condizione che sia stata data al lavoratore «adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196». Ciò significa che, anche se lo strumento di controllo a distanza è lecitamente installato, il datore di lavoro deve preventivamente informare il lavoratore agile sulla possibilità di eseguire controlli sulla sua prestazione.
Quindi il divieto di un controllo strutturato e continuativo nel tempo del lavoratore grazie alle nuove normative non è più un divieto assoluto?
P: Esatto, in alcuni casi i controlli sono ammessi. I controlli in cui viene preservata la privacy dell’interessato (per esempio in modalità anonimizzata o pseudo-anonimizzata e accompagnati da corrette informative) non costituiscono alcuna violazione. Inoltre se il datore di lavoro ha il fondato sospetto che il dipendente stia commettendo degli illeciti, può svolgere controlli mirati (in questo caso in chiaro), anche a distanza, a patto che siano proporzionati e non invasivi, e che riguardino beni come il notebook, lo smartphone o la casella di posta aziendali.
L’obiettivo di Lan & Wan Solutions in questo momento è quello di supportare i clienti che hanno necessità di strutturare nella propria azienda un vero e potente smart working, in grado di fare lavorare i propri dipendenti in qualsiasi luogo e con qualsiasi dispositivo, aumentando così in maniera esponenziale la produttività aziendale.
Al contempo mettendo in pista tutte quelle procedure che portino l’azienda ad adottare le opportune Misure Idonee Organizzative e Tecnologiche in grado di proteggere tutti i trattamenti di dati personali e aziendali, così da trasformare un costo in un valido quanto indispensabile investimento aziendale.
