Studio Legale Carozzi

Paragrafo 3: Collegamenti, SFW, Privacy

Nei precedenti contributi abbiamo evidenziato tra gli aspetti critici del “”Lavoro agile”, impropriamente chiamato “Smart working” anche il “Trattamento dati” con i relativi obblighi scaturenti dalla Privacy, D.lvo 196/03 e GDPR 679/2916, come anche riportato nell’art. 19 comma 1della Legge 81/2017.  

Da evidenziare che la Legge del 22 maggio 2017, n. 81 è titolata “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato” ed è di tutta evidenza che parlare di “articolazione flessibile nei tempi e nei luoghi” presuppone fatalmente l’utilizzo di strumenti informatici fuori sede, con conseguente “Trattamento dati” dell’Azienda e dei suoi fornitori e clienti con modalità variabili e maggior esposizione ai rischi rispetto all’ambiente aziendale, di suo naturalmente più protetto e meglio gestito.

Gli aspetti critici del “Lavoro agile” sotto il profilo della Sicurezza e Salute del lavoro per le Attrezzature/Dispositivi di Lavoro, Impianti Elettrici, Rischio Incendi sono stati richiamati nel precedente contributo 3, vedi il documento INAIL, ma questo non esaurisce l’argomento, visto l’impatto del “Trattamento dati” e delle “Comunicazioni” intrinseco e ineluttabilmente collegato al “Lavoro agile” di suo progettato quale forma di attività lavorativa ad alta produttività.

L’impianto normativo della “Sicurezza dei trattamenti dati”, da tutti chiamata, sia pure impropriamente, “Privacy”, è basato sul Regolamento UE 2016/679, il c.d. GDPR, e sul D.Lgs. n. 196/2003 (poi aggiornato dal D.Lgs. n. 101/2018 che ha recepito il Regolamento UE); tuttavia, trattandosi di “rapporto di lavoro dipendente”, questo sistema normativo va letto alla luce della L. n. 300/1970 (c.d. Statuto dei Lavoratori).

Nel merito:

  1. La “Valutazione dei rischiPrivacy nello Smart working

Prima questione: nel rispetto dello Statuto dei Lavoratori, art. 4 L. 300/70, il datore di lavoro deve essere in grado di dimostrare che l’utilizzo delle tecnologie informatiche non rientri in un programma pensato esclusivamente al controllo dell’attività del lavoratore ma, nel rispetto del principio di accountability, deve contestualmente garantire l’osservanza dei principi di privacy by design e privacy by default.

Questo comporta l’aggiornamento del registro dei trattamenti e, più in generale, gli adempimenti sanciti dal GDPR a tutela dei principi del trattamento dei dati personali, ovvero la chiara individuazione delle finalità dei trattamenti, pertinenza, minimizzazione, conservazione e proporzionalità, tenendo però ben presente che le attrezzature informatiche e la gestione dei dati sono affidate direttamente allo smartworker, che ne risponde.

E’ obbligatoria la valutazione preventiva e di impatto sulla protezione dei dati (ex art. 35 GDPR), ossia la predisposizione di una procedura da mantenersi nel tempo e soggetta a revisione, contenente la descrizione dei trattamenti dei dati sotto il profilo dei rischi collegati alla natura, ambito, contesto, finalità dei trattamenti stessi, con le misure di sicurezza idonee ad affrontarli in funzione della loro necessità e proporzionalità.

E’ doverosa anche la predisposizione di una specifica procedura per i possibili data breach (ex artt. 33, 34 GDPR) cui devono essere adeguatamente formati i lavoratori, essendo loro responsabilità individuare l’evento e dare tempestiva informazione al datore di lavoro nel caso in cui si verifichi – nell’ambito della loro attività – una violazione dei dati personali oggetto di trattamento.

Questi adempimenti, obbligatori e non meramente formali, richiedono ovviamente una puntuale definizione della organizzazione dell’attività per fasi, cicli e obiettivi, con l’utilizzo degli strumenti tecnologici correttamente individuati per lo svolgimento della specifica attività lavorativa, e i criteri e modalità per l’attuazione del diritto di disconnessione.

Di totale evidenza, quanto sopra richiede che l’informativa allegata all’accordo per lo smartworking comprenda un paragrafo contenente una completa informativa privacy ai sensi degli artt. 12 e 13 GDPR, tale da fornire al lavoratore un’informazione adeguata circa le modalità d’uso degli strumenti e di effettuazione dei controlli.

  • Il trattamento dei dati e la disciplina del lavoro

La L. n. 81/2017 non regola in maniera specifica né le forme di controllo dello smartworker attuabili dal datore di lavoro, né le modalità con le quali debbano essere trattati i dati personali del lavoratore, ma si limita a rinviare alla L. 300/1970, art. 4 “Impianti audiovisivi”, ove è disposto che “1. È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori. 2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti”.

Giusto quanto sopra, in ambito smartworking il datore di lavoro può installare impianti audiovisivi e altri strumenti – dai quali può anche solo derivare un possibile controllo – nella logica di esigenze di natura organizzativa, produttiva, di tutela del patrimonio aziendale o della sicurezza del lavoro, previo accordo con le rappresentanze sindacali (territoriali o nazionali) o, in mancanza, previa autorizzazione della sede (territoriale o centrale) dell’Ispettorato Nazionale del Lavoro (comma 1), ma anche senza che siano necessari previ accordi o autorizzazioni con riferimento ai soli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (comma 2).

Soccorre in questo senso l’art. 13 del GDPR che prevede nell’informativa elementi aggiuntivi quali l’indicazione delle basi giuridiche del trattamento e i tempi di conservazione dei dati. Inoltre, l’informativa dovrà contenere anche la componente “lavoristica” non regolata dal GDPR ove il datore di lavoro spiega al lavoratore sia come deve utilizzare gli strumenti assegnati, per quali fini e con quali limiti, sia in quali forme potrà esercitare i controlli possibili grazie a tali strumenti.

Per fare un esempio concreto, ipotizziamo il caso dello smartworker che non si sia mai connesso al proprio pc durante l’orario di lavoro e, quindi, non abbia lavorato. Questa condotta potrebbe avere rilevanza disciplinare ed essere contestata al lavoratore, a condizione che il datore di lavoro abbia preventivamente informato lo smartworker circa le modalità di controllo e quelle attinenti al trattamento dei dati personali.

Di conseguenza un trattamento di dati personali effettuato senza che l’interessato abbia ricevuto un’informativa esaustiva e dettagliata è illecito e i dati raccolti sono inutilizzabili (art. 4, c. 3, Statuto dei lavoratori e art. 24- decies, D. Lgs. 196/2003). Il Datore di lavoro può utilizzare tutte le informazioni raccolte per tutti i fini connessi al rapporto di lavoro – dunque anche disciplinari -, purché fornisca una previsione dettagliata delle sanzioni disciplinari alla luce dei principi di proporzionalità e adeguatezza rispetto allo scopo perseguito.

  • Attrezzature di lavoro, collegamenti, sicurezza dati, ecc.

Nello Smartworking l’impresa è chiamata a fornire al lavoratore una serie di informazioni e di documenti necessari all’esecuzione delle proprie mansioni, nonché le attrezzature necessarie allo svolgimento della prestazione lavorativa, rimanendo comunque onerata della manutenzione e protezione degli stessi.

Questo obbligo si traduce in accorgimenti e regole in tema di utilizzo, conservazione e manutenzione degli strumenti di lavoro; di gestione della password; di operatività dell’Antivirus; di conservazione di file e documenti; di protezione dei dispositivi portatili; di utilizzo di Internet e della posta elettronica.

Ad oggi, le principali soluzioni alle quali il datore di lavoro può ricorrere, oltre alla continua formazione dello smartworker, sono il Cloud (Cloud Computing, ovverosia Nuvola Informatica); la VPN (Virtual Private Network); la ACL (Access Control List), quest’ultima particolarmente efficace nel limitare il rischio di accesso non autorizzato, o a diffusione, perdita e distruzione dei dati; tutte soluzioni che richiedono l’applicazione dei principi di privacy by design e privacy by default, e relativa manutenzione, in collaborazione con il lavoratore stesso.

In sintesi, nello smartworking il lavoratore di norma vive gran parte del suo orario di lavoro connesso a una rete (internet o aziendale). Questo significa scambio di documenti e informazioni con colleghi, clienti e fornitori, e accesso ai server aziendali, con la naturale conseguenza che il datore di lavoro deve poter contattare lo smart worker negli orari di lavoro previsti, gli assegna le attività e ne controlla l’operato. Nello smartworking pertanto l’occhio umano del datore di lavoro è sostituito dall’analisi dei dati prodotti dal lavoratore mentre utilizza gli strumenti a lui assegnati (pc, smartphone, rete VPN ecc.).

La manutenzione del sistema progettato, e la collaborazione attiva e responsabile del dipendente in funzione dell’informativa ricevuta costituiscono conditio sine qua non per il positivo svolgimento dell’attività e suo proseguimento nel tempo.

  • Risparmio carta e toner, aspetti ambientali, consumi, ecc.

Un aspetto da non trascurare investe i consumi legati all’attività lavorativa, ed i rimborsi aziendali su tali costi. Discorso relativamente facile per i costi in itinere per chi si reca dai clienti e/o sul luogo di lavoro in esterno, esistono da sempre criteri e tabelle collaudate per le attività di vendita e di rappresentanza, e sono riproducibili per situazioni raffrontabili, assai meno pacifico per le attività prevalentemente informatiche che costituiscono logicamente il “nocciolo duro” delle attività in “smart working”.  

Le attrezzature sono sempre e totalmente fornite dall’Azienda? Forse, ma non è detto, ci sta che il lavoratore utilizzi anche strumenti propri. La carta e la stampante con i relativi toner, come anche gli accessi ad internet e ad altre piattaforme, il consumo di corrente elettrica e/o la corretta ambientazione del posto di lavoro in casa possono comportare costi significativi, e vi può essere anche la situazione che non siano sempre giustificati dalla prestazione lavorativa.

Questi aspetti e relativi criteri di riconoscimento del costo con contestuale meccanismo di rimborso, soprattutto se proiettati nel tempo possono giungere ad importi significativi, e costituire argomenti di contestazione sia per il lavoratore che per l’Azienda, senza contare che anche sotto l’aspetto fiscale presentano potenziali criticità.

Anche sotto questo profilo si evidenzia essenziale una corretta informativa a sostegno dell’accordo di “smart working” tra le parti, e i criteri di riconoscimento dei costi e loro regolazione fiscale devono costituire un paragrafo puntuale e dettagliato della prestazione lavorativa.

  • Nella fase emergenziale da COVID 19

La normativa emergenziale scaturente dal profluvio dei DPCM governativi ha indicato una procedura semplificata rispetto alla normativa istitutiva dello Smartworking, pur nel rispetto dei principi dettati dalla stessa.

La procedura semplificata prevede la deroga alla necessità dell’accordo scritto controfirmato dal lavoratore, la cui comunicazione, peraltro, può avvenire per via telematica con l’eventuale richiamo al D.P.C.M. del 1° marzo 2020. Prevede poi la redazione di una comunicazione mediante il portale Cliclavoro da inviare preventivamente e comunque entro 5 giorni dall’avvio del lavoro agile, e l’adempimento degli obblighi di cui all’art. 22 Lg n. 81/2017 in via telematica.

Questa Procedura è in vigore per la durata dell’emergenza COVID, ed è destinata a cessare la sua validità con il ritorno alla normalità