Euro

The european project Training Activities to Implement the Data Protection Reform (TAtoDPR) has received funding from the European Union’s Rights, Equality and Citizenship (REC) Programme of the European Union under Grant Agreement No. 769191

The contents of this Journal represent the views of the author only and are his/her sole responsibility. The European Commission does not accept any responsibility for use that may be made of the information it contains.

Home / ISSUES / Issue / Lo “smart working”, da pratica sperimentale a modus operandi ordinario: problematiche ..

back print content


Lo “smart working”, da pratica sperimentale a modus operandi ordinario: problematiche giuridiche e applicative

Dott. Luigi Izzo

Praticante Avv. del Foro di Napoli e Cultore della materia in Diritto delle Nuove Tecnologie – Università degli Studi di Napoli Suor Orsola Benincasa

Abstract:

Da secoli la modalità ordinaria di impiego prevede la presenza fissa del lavoratore sul luogo allo stesso assegnato, a prescindere dall’ambito lavorativo di riferimento. Eppure, dopo i primi impulsi dovuti all’esigenza di tutelare particolari categorie “deboli” di lavoratori, l’attuale emergenza dovuta alla pandemia da COVID-19 ha imposto un ripensamento del paradigma lavorativo mediante un utilizzo sempre più esteso delle modalità di “lavoro agile”, sia nelle imprese che negli uffici amministrativi. Ciò, tuttavia, impone di prendere in considerazione una serie di problematiche che spaziano dalla privacy alla tutela del lavoratore di per sé.

Key-words: Smart Working, Lavoro agile, COVID-19, impiego, ICT, Data Protection

Category: Legal Area

Topic: Privacy Law

Summary:

Introduzione - 1. La diffusione dello smart working - 1.1 Lo scenario pre-pandemia - 1.2 Le reazioni all’emergenza - 2. Problematiche giuridico-applicative - 2.1 La privacy dei lavoratori - 2.2 La tutela del patrimonio informativo dell’azienda - 2.3 Una possibile maggior diffusione del DPO - Conclusioni - Notes


Introduzione

Il cd. “lavoro agile” (così è stata tradotta nella nostra lingua l’espressione anglosassone “smart working”) è una nuova realtà lavorativa, già molto diffusa prima dell’attuale crisi globale ma che solo in tempi molto recenti ha ottenuto un vero e proprio riconoscimento giuridico da parte del legislatore mediante l’approvazione della l. 22 maggio 2017, n. 81, la quale è il prodotto di un iter iniziato nel 2014 con la presentazione del disegno di legge Mosca. Riconoscimento che, in molti ambiti, aveva avuto il sapore di una mera sperimentazione, oggi culminata nell’adozione forzata di questo approccio versatile verso il lavoro.

All’interno della legge sopra menzionata, specificamente all’art. 18, co. 1[1], si rinviene una compiuta descrizione di tale nuova modalità lavorativa, che dovrebbe migliorare la competitività delle imprese, pensata per una miglior conciliazione degli impegni lavorativi con le esigenze di vita sociale del singolo[2] e per la quale si prevede:

-         che vi sia accordo tra le parti;

-         che non vi siano precisi vincoli di orario e di luogo, così sussistendo la possibilità di lavorare alternativamente da locali aziendali ovvero private e suddividendo il carico lavorativo tra tot ore in sede e tot ore fuori sede;

-         che possono essere eventualmente utilizzati strumenti tecnologici (PC, tablet, laptop, ecc.);

-         che si rispetti il limite di durata massima, sia giornaliero che settimanale, così come definito dalla legge e dalla contrattazione collettiva.

Di sicuro si è in presenza di un modus operandi nettamente differente rispetto a quello consolidato e, proprio per questo si temeva l’impatto dirompente e innovativo di tale novella legislativa, soprattutto ove si consideri che tramite questa si espande l’area dell’autonomia privata relativamente ai profili del luogo e soprattutto dell’orario di lavoro[3], così ponendo il lavoratore fuori dai confini dei poteri datoriali con riguardo a questi aspetti[4] e a quelli ad essi correlati[5], come la distribuzione del carico di lavoro e la definizione di un vero e proprio diritto alla disconnessione[6].

Inoltre, a differenza delle normali modalità di impiego subordinato (perché il lavoro agile è, nonostante le apparenze, soggetto alla forma lavorativa della subordinazione) si fornisce meno rilevanza alla quantità di ore e al luogo fisico in cui queste sono consumate, attribuendo maggior importanza, piuttosto, ai risultati conseguiti[7] dallo smart worker.

Sussistono, pertanto, delle vere e proprie differenze tra lo “smart working” e il similare (ma, appunto, non coincidente) “telelavoro” che, per essere comprese, richiedono uno sguardo alla nozione di quest’ultimo[8] dalla quale si desume la regolarità del lavoro “fuori sede” e dell’utilizzo delle tecnologie informatiche, elementi già di per sé sufficienti a tracciare un netto solco tra le due fattispecie, reso ancor più ampio dalla presenza di una maggior autonomia individuale nell’ambito del “lavoro agile”[9].

Ma, ancora, sussiste una ulteriore particolarità dello smart working da prendere in considerazione ai fini di una sua maggior distinzione: l’estrema (per gli standard odierni, beninteso) flessibilità che al momento non è dato rinvenire nel “telelavoro” e che in diversi accordi precedenti all’emergenza pareva essere oltretutto assente data la presenza di numerose imposizioni da parte dei datori di lavoro[10], probabilmente proprio nel tentativo di recuperare parte di quei poteri datoriali persi con questa innovazione.

Tuttavia, va detto che, seguendo il Duni[11], il “telelavoro”, per quanto differente dal “lavoro agile”, presenta, come caratteristica comune, la possibilità di far eseguire le mansioni lavorative a distanza rispetto al luogo di lavoro. Pertanto, lo si potrebbe definire quasi un antenato dell’attuale smart working, il cui fondamento normativo era dato dall’art. 4 della legge n. 191/1998[12], che ha avuto completa attuazione con il D.P.R. n. 70 del 1999.


1. La diffusione dello smart working

Le caratteristiche di siffatta modalità lavorativa son tali da rendere il lavoro agile un vero e proprio game changer, tuttavia non adeguatamente apprezzato da molte (troppe) Piccole e Medie Imprese come pure da larga parte della stessa Pubblica Amministrazione nonostante l’approvazione di una normativa specifica. Questo ha frenato la diffusione del lavoro agile e provocato un esteso ritardo, che si è dovuto recuperare in tutta fretta allo scoppio della pandemia.


1.1 Lo scenario pre-pandemia

Al fine di rendere meglio l’idea dell’atteggiamento tenuto da tanti nei confronti dello smart working può essere fatto un paragone con quanto accadde con lo sviluppo dei radar negli anni ’30 e ’40, strumento tatticamente (e strategicamente) utilissimo che fu palesemente ignorato dai vertici politici e militari del nostro Paese, salvo poi dover correre ai ripari a conflitto già avviato[13].

Ecco, si potrebbe dire che allo stesso modo sia andata con questa ulteriore innovazione, mal recepita (se non perfino ostacolata) immediatamente dopo la sua disciplina e che ora, a emergenza oramai in corso, viene vista sempre più come il rimedio a cui ricorrere il prima possibile per consentire una limitata ripresa economica e il funzionamento del complessivo apparato amministrativo nel rispetto del divieto di assembramento. Si è deciso, quindi, di adottare su base generalizzata questo nuovo approccio.

Tuttavia, immediatamente dopo l’adozione della normativa di base, come si può immaginare, sono state emanate delle linee guida che di fatto ne hanno frenato la diffusione, quale, ad esempio, quella di prevedere un obiettivo minimo pari ad appena il 10% dei dipendenti da porre in smart working per quanto concerne la Pubblica Amministrazione, quota indicata da una direttiva dell’allora Ministro Marianna Madia[14] da raggiungere, peraltro, in “soli” 3 anni, attraverso, di fatto, un processo di sperimentazione.

Target che, relativamente alle caratteristiche dell’impiego presso la Pubblica Amministrazione[15], fu giudicato pure irrealistico da alcuni[16] ma, vedendo quanto avvenuto esattamente 3 anni dopo, questa soglia sarebbe da considerare quasi lo standard minimo per garantire il funzionamento degli uffici pubblici in tempo di emergenza.

Al tempo stesso, invece di cercare di attivare progetti di smart working nei confronti di ogni dipendente, pubblico o privato, che fosse in grado di usufruirne così velocizzandone l’implementazione su scala molto più vasta, si è deciso di imporre solamente dei criteri di precedenza[17] che garantissero una corsia preferenziale a precise categorie di lavoratori. Intento sicuramente lodevole, non c’è dubbio alcuno, ma la misura certamente non favoriva una accelerazione generalizzata nell’adozione di questa modalità lavorativa.

Qual è stato il risultato finale di tale atteggiamento verso il lavoro agile? Semplice, ad ottobre 2019 (esattamente alla vigilia dell’outbreak virale di Wuhan) dai dati dell’Osservatorio Smart Working risultava che sia la P.A. che le P.M.I., queste ultime parimenti refrattarie all’idea di dover ripensare le modalità di impiego dei propri dipendenti, erano estremamente in ritardo rispetto ad altri comparti[18], tant’è vero che i progetti di smart working del pubblico impiego avevano un effettivo impatto su appena il 12% della popolazione complessiva dei dipendenti con una scelta orientata dalle motivazioni prettamente famigliari di questi e, invero, una percentuale identica era stata ottenuta per i progetti delle P.M.I., a dimostrazione di quanto sia difficile accettare di dover ripensare il modo di lavorare in alcuni ambienti.

Eppure, è uno strumento, questo, che anche la P.A. avrebbe dovuto accettare senza eccessive remore (se non quella di garantirne una corretta ed effettiva applicazione) al fine di completare quel processo di digitalizzazione della stessa già da tempo avviato, così concretizzando il concetto di Amministrazione Digitale (o anche e-government) che prevede il sostanziale “trasferimento” dei procedimenti amministrativi dagli sportelli fisici a quelli telematici. Stesso discorso valga per le P.M.I., che avrebbero potuto capire per tempo come gestire le mansioni di tipo amministrativo “fuori sede” senza ritrovarsi in affanno in seguito.

Quindi, trattasi di uno strumento che, se prima era visto solamente come una soluzione per risparmiare risorse e tempo nei procedimenti amministrativi (sia pubblici che aziendali) e in grado di conciliare le esigenze lavorative con quelle personali dei dipendenti (si pensi, per esempio, alle necessità familiari), oggi assume quasi le vesti di una vera e propria arma strategica, necessaria al fine di garantire il funzionamento del Sistema Paese in un momento di emergenza.

Per contro, vi è stato chi è stato sufficientemente lungimirante, come i dirigenti del gruppo Generali, i quali già due anni prima dell’inizio della crisi sono stati in grado di riprogettare completamente tutto e di avviare un’adozione sempre più ampia del lavoro agile, al punto da adottarlo per ben 1.000 dipendenti tra Milano e Roma in poco tempo[19] ed estenderlo poi a numerosi lavoratori di Mogliano Veneto, Torino e Trieste nel 2018[20]. Infatti, come accertato dall’Osservatorio Smart Working, ben il 58% delle grandi e medie imprese aveva già adottato in modo diffuso questo approccio e superato la fase della sperimentazione, dato che in queste aziende il lavoro agile era già una realtà diffusa e consolidata.


1.2 Le reazioni all’emergenza

Come noto, a fine febbraio di quest’anno si è giunti alla proclamazione dello stato di emergenza su tutto il territorio nazionale in seguito alla diffusione del nuovo coronavirus (denominato SARS-CoV-2), geneticamente simile a quello della SARS del 2003[21] ma da questi differente e apparentemente più lieve, in quanto la SARS dell’epoca era caratterizzata da un tasso di mortalità pari al 9,6% degli infetti e da una minore capacità di trasmissione rispetto all’attuale variante riscontrata in Cina nel dicembre dello scorso anno[22].

Il problema riguarda proprio questa maggior capacità di infezione del ceppo oggigiorno circolante, che ha comportato proprio la necessità di ridurre i contatti sociali, obbligando allo stop generalizzato di molte attività e al massiccio ricorso allo smart working nelle aziende e negli uffici, sia pur con tutti i disagi che comporta un cambio di passo così repentino[23].

Innanzitutto, il rapido ricorso allo stesso (specialmente nelle zone inizialmente colpite dall’epidemia) ha costretto il Governo a operare una prima deroga relativa alla previsione che richiede un accordo scritto tra il datore di lavoro e il dipendente, disponendo con il D.P.C.M. del 23 febbraio 2020 che sia sufficiente una mera autocertificazione che attesti la provenienza del lavoratore da una delle zone all’epoca a rischio, con ciò eleggendolo de facto a strumento imprescindibile per la continuazione dell’attività lavorativa e facendo venire meno (almeno temporaneamente) la volontarietà che lo ha contraddistinto.

Questo, in combinazione con un’ulteriore diffusione dei dati relativi all’utilizzo del lavoro agile nelle P.M.I., “accusate”, guarda caso, di essere perfino più arretrate dei pubblici uffici[24], ha innescato, poi, una vera e propria corsa all’attivazione di quante più posizioni possibili sotto forma di smart working e, come logica conseguenza, ciò ha portato molti a interrogarsi su questioni che hanno immediatamente trovato spazio sui giornali del settore, quali l’applicazione del codice disciplinare[25], gli strumenti di controllo digitale delle prestazioni (e annesse preoccupazioni per la privacy del lavoratore)[26], la flessibilità nella scelta degli orari e luoghi della prestazione[27], la sicurezza informatica[28], il ruolo del Data Protection Officer nelle aziende[29].

Ai decreti e agli articoli giornalistici, nel marasma informativo di quei giorni, poi, faceva immediatamente seguito il 9 marzo 2020 un avviso dell’INAIL contenente una informativa sulla sicurezza dei lavoratori ai sensi dell’art. 22, co. 1, l. 81/2017[30], nella quale erano indicati numerosi comportamenti e accorgimenti da adottare per un lavoro agile in sicurezza.

Questo, nell’ambito delle imprese. Per quanto concerne l’adozione massiva di siffatta modalità lavorativa nella Pubblica Amministrazione, invece, si deve partire dalla circolare del 4 marzo 2020 a firma Dadone[31] con cui si è dato un primo forte impulso allo smart working, passando dalla sua sperimentazione all’adozione in via ordinaria, in uno scenario dove, secondo il rapporto dell’anno precedente[32], il 43% dei lavoratori ritiene che questa modalità operativa non sia applicabile alla propria realtà e che il procedimento amministrativo cartaceo e la gestione tramite faldoni e fascicoli non consente il lavoro agile. Il 27%, poi, non percepisce i benefici ottenibili e il 21% solleva il problema delle procedure poco digitalizzate (a volte differenti perfino all’interno di una stessa amministrazione) nonché l’assenza di una adeguata tecnologia, per esempio di banda di rete di comunicazione, tutti segnali di una P.A. poco “digitale”[33]. Ciononostante, dopo nemmeno un mese dalla prima circolare attuativa (o meglio, esortativa), Palazzo Vidoni fa uscire i primi risultati di un monitoraggio tendente a verificare l’andamento dei pubblici enti circa l’implementazione dello smart working, da cui emerge che addirittura l’83% del personale della P.A. centrale sarebbe impiegato mediante tale modalità.

Si vede, pertanto, come entrambe le anime del Paese, quella pubblica e quella privata, abbiano saputo, in tempi relativamente brevi, digitalizzarsi in maniera estesa al fine di evitare un blocco totale.


2. Problematiche giuridico-applicative

È evidente come il lavoro agile sia divenuto una vera e propria panacea per le aziende, sia pur ponendo diverse problematiche in ordine alla privacy[34].

Questo aspetto concerne specialmente i lavoratori in quanto il datore di lavoro, ai sensi dell’art. 21, l. 81/2017 deterrebbe un potere di controllo che rischia di porre serie lesioni alla sfera privata dei suoi dipendenti. Non solo, dacché questi potrebbe, attraverso intromissioni e pressioni nel processo decisionale relativo all’orario di lavoro, rendere de facto ineffettivo il diritto alla disconnessione e tentare di stabilire una vera e propria disponibilità illimitata del subordinato, così configurando una intrusione indebita nel tempo di non lavoro e, quindi, nella sfera personale del lavoratore, ledendone anche la privacy (di cui il diritto alla disconnessione è, in pratica, una sfaccettatura)[35].

Al tempo stesso, va considerato come sia stato implementato frettolosamente il lavoro agile al fine di minimizzare i danni economici, però facendo affidamento spesso e volentieri sui device informatici di personale proprietà degli impiegati in luogo di quelli forniti dalle imprese, al fine di accorciare i tempi (e magari abbassare i costi) ma in tal modo aumentando i rischi di involontari leak informativi e di attacchi ai sistemi e così ponendo a rischio il patrimonio informativo aziendale.


2.1 La privacy dei lavoratori

Nell’analisi del rischio derivante da un uso errato dei poteri datoriali di controllo è bene considerare che detti poteri sono strettamente correlati alla necessità di far rispettare un codice disciplinare e di applicare le relative sanzioni.

Di conseguenza, si pone una prima domanda a cui rispondere, ossia se si configuri, per lo smart worker, un differente codice disciplinare (e relative sanzioni) da rispettare rispetto a un normale dipendente in azienda, problematica cui non si può non fornire una risposta negativa, soprattutto qualora le violazioni del lavoratore agile siano connesse ai doveri fondamentali collegati al rapporto di lavoro[36]; soprattutto violazioni dei doveri fondamentali, certamente, ma al tempo stesso non solo quel genere di violazioni sono passibili di essergli contestate. Infatti, è lecito ritenere che, al fine di non creare disparità tra lo smart worker e i dipendenti in azienda, si applichino le stesse sanzioni e le medesime previsioni disciplinari generalmente indicate nei vari contratti collettivi[37]. Ragion per cui, i poteri di controllo sul lavoratore agile, sia pur con le peculiarità dovute al caso specifico, tenderanno ad essere esercitati con la stessa “intensità” che si avrebbe nei confronti di quanti espletano le proprie mansioni dai locali aziendali. Questo, però, rischia di invadere la sfera individuale del lavoratore in maniera assai più rilevante, considerato il diverso contesto ambientale dove si lavora e la differente (certamente più flessibile e discontinua) modalità di gestione dell’orario di lavoro[38].

Proprio in considerazione di questi aspetti, allo stato attuale e prescindendo dalla sottoscrizione di un accordo scritto cui si è rinunciato almeno per la durata di questa emergenza[39], va notato come sia ugualmente necessario, per l’azienda, disciplinare[40]:

-         il rispetto degli orari di lavoro, configurando anche il diritto – dovere dei dipendenti alla disconnessione;

-         l’utilizzo degli strumenti elettronici, siano essi aziendali o personali;

-         l’esercizio del potere direttivo e di quello di controllo, anche da remoto;

-         ipotesi specifiche di infrazioni disciplinari che possano essere commesse dal lavoratore agile.

Infatti, anche se viene meno la necessità di un accordo individuale, lo stesso vanno seguiti, come richiesto dalla normativa emergenziale, i principi sottesi allo smart working presenti negli articoli dal n. 18 al n. 23 che impongono la regolamentazione dei profili di cui sopra affinché non si registrino abusi da parte dei datori di lavoro, disciplina cui si potrebbe provvedere quantomeno mediante una informativa diretta ai lavoratori[41], dal momento che allo stato attuale ben poco supporto può essere fornito dai sindacati.

Ma, in concreto, come si può attuare il potere di controllo? Di sicuro vanno rispettati i limiti fissati dagli articoli 2, 3 e 4 dello Statuto dei lavoratori. L’ultimo di questi articoli, in particolare, ha una certa rilevanza quando si parla di lavoro agile, perché fissa un divieto di installazione e uso di apparecchiature tecnologiche e sistemi che rendano il datore di lavoro in grado di controllare a distanza lo svolgimento dell'attività lavorativa del dipendente, a meno che il ricorso a questi apparecchi non venga preventivamente concordato con un accordo sindacale o ottenga l’autorizzazione dell'Ispettorato territoriale del lavoro e a condizione che vengano impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale[42].

La norma, nata nel 1970, grazie a una interpretazione evolutiva da parte della giurisprudenza e del Garante della Privacy è giunta a comprendere anche gli strumenti di controllo digitalizzato della prestazione lavorativa, che spaziano dai sistemi di rilevazione della posizione sino a quei software che monitorano in maniera costante l'uso che viene fatto di Internet[43].

Pertanto, diviene impossibile verificare per mezzo delle tecnologie digitali cosa stia facendo il dipendente in un dato momento della giornata, atteggiamento che sarebbe pure contrario alla logica del lavoro agile. Però, si deve notare che lo Statuto ha subito una parziale deroga da parte del Jobs Act del 2015[44], il quale dispone che queste restrizioni non si applichino agli “strumenti di lavoro” e che i dati e le informazioni ottenuti tramite gli strumenti di controllo a distanza siano utilizzabili “ai fini del rapporto di lavoro” solo a condizione che sia stata data al lavoratore abbia ricevuto una adeguata informativa in merito.

Di conseguenza, rispetto alla situazione ante-Jobs Act non sussiste più un divieto totale di controllo, anzi! Per esempio, qualora vi siano sospetti fondati che lo smart worker commettendo degli illeciti disciplinari ovvero sussistano esigenze organizzative e di gestione e protezione dei dati[45], possono benissimo essere svolti controlli mirati, anche a distanza, a patto che rispettino il principio di proporzionalità, non siano invasivi e che riguardino beni dell’azienda[46] (il PC fornito dal datore, la casella di posta aziendale), rispetto ai quali va anticipatamente chiarito a tutti i dipendenti, mediante apposita informativa[47], che gli strumenti aziendali non possono essere usati per motivi non attinenti alle proprie mansioni proprio perché potrebbero essere oggetto di indagini aziendali. Al tempo stesso, dovendo generalmente usare programmi e piattaforme (anche su PC personali dei dipendenti) che possono eventualmente soddisfare la necessità di controllo da parte del datore, quest’ultimo deve garantire che siano stati osservati i principi di privacy by design e privacy by default[48] nella progettazione del software.


2.2 La tutela del patrimonio informativo dell’azienda

Con riferimento ai rischi che corre l’azienda stessa, va evidenziato come lo smart worker improvvisato possa costituire una vera e propria falla nella struttura digitale di una azienda[49]. Infatti, nella stragrande maggioranza dei casi, per i lavoratori sono stati predisposti sistemi di collegamento a distanza improvvisati, spesso con l'uso di device non aziendali bensì di proprietà dei dipendenti o addirittura dei loro familiari. Pertanto, sarebbero strumenti digitali potenzialmente inappropriati ai fini dello svolgimento delle mansioni lavorative in quanto spesso e volentieri risultano privi di sistemi operativi aggiornati e misure di sicurezza adeguate, caratteristiche che connotano, invece, la gestione e l’utilizzo dei dispositivi di proprietà aziendale. A ciò si aggiunga pure che a buona parte del personale è stato dato accesso ai sistemi e programmi aziendali senza fornire una informativa che abbia istruzioni specifiche relativamente all’utilizzo degli stessi e alle misure di sicurezza da adottare e rispettare[50].

Queste problematiche, poi, vengono ulteriormente amplificate dal fatto che le connessioni di cui usufruiscono i dipendenti non sono affatto quelle di tipo chiuso, quali le reti intranet aziendali che son collegate al web e al tempo stesso protette per mezzo di firewall e di sistemi di criptazione dei dati, bensì le più comuni reti domestiche, che sono potenzialmente in grado di far avere numerose informazioni a terzi estranei proprio per il minor impegno necessario al fine di “bucarne” i protocolli di sicurezza.

È evidente come sia preferibile che i dispositivi di lavoro vengano forniti dal datore di lavoro, così che abbiano sistemi operativi aggiornati e adeguate misure di sicurezza, quali antivirus e firewall. Però, qualora non sia attuabile un programma di forniture aziendali (come ora, in piena emergenza) o si preferisca consentire l'accesso attraverso strumenti di proprietà dello smart worker, sarà necessario implementare adeguate policy BYOD ("Bring Your Own Device", l’approccio attualmente più diffuso)[51] attraverso le quali verificare quali siano i livelli di sicurezza che detti dispositivi dei dipendenti dovranno avere e stabilirne le relative modalità di utilizzo, le quali prevedano l’utilizzo di precise credenziali di autenticazione atte a consentire all’utente l’accesso solo ai dati allo stesso riservati e magari stabilendo l'installazione di software di segregazione dei dati e delle informazioni, in modo da evitare una commistione tra i dati aziendali e quelli privati[52].

Da un punto di vista tecnico, al fine di limitare i rischi derivanti da un approccio BYOD, le principali soluzioni alle quali il datore di lavoro può far ricorso, senza trascurare la continua formazione digitale dello smart worker, sono: le reti VPN (Virtual Private Network), i software che sfruttano il Cloud (Cloud Computing, ovverosia Nuvola Informatica) e l’ACL (Access Control List), mirata a limitare il rischio di accesso non autorizzato con conseguente diffusione e/o perdita e distruzione dei dati aziendali. Al tempo stesso dovrebbe essere stilato un vero e proprio codice di condotta digitale da seguire nell'utilizzo di dispositivi per il collegamento da remoto, nel quale inserire regole come:

- non lasciare incustodito o in un qualsiasi modo accessibile il dispositivo;

- non allontanarsi dalla postazione di lavoro senza aver prima posto in sospensione, sbloccabile solo con password, il dispositivo;

- curare gli aggiornamenti per tutti gli antivirus e i software installati;

- limitare il salvataggio in locale dei dati a casi eccezionali e limitatissimi, avendo cura, venuta meno la necessità, di eliminare tali dati dalla memoria interna;

- regolamentare, qualora sia consentito, l'utilizzo di dispositivi esterni di archiviazione dati quali pen drive e hard disk esterni;

- emanare una apposita informativa per rendere edotti i lavoratori dei rischi derivanti da attività di hackeraggio o phishing di cui potrebbero essere vittime e sui comportamenti da adottare per neutralizzare tali violazioni;

- rammentare le regole fornite per la gestione di possibili leak di dati personali e aziendali (c.d. data breach).


2.3 Una possibile maggior diffusione del DPO

Considerato un tale scenario di partenza è istintivo immaginare che, insieme allo smart working, raggiunga una ulteriore importanza anche la figura del Data Protection Officer (DPO), il quale dovrebbe essere maggiormente diffuso e coinvolto nella creazione delle policy aziendali nel suo ambito operativo, anche al fine di evitare eventuali sanzioni per una gestione totalmente fai-da-te dei dati sensibili, siano essi personali ovvero aziendali[53].

Ad esempio, prendendo come base la necessità di gestire e strutturare nel migliore dei modi il lavoro agile, pare assai opportuno che un DPO si coordini con l’area IT dell’azienda per un monitoraggio complessivo e per organizzare il presidio informatico e la gestione dell’accesso contemporaneo di più lavoratori operanti da remoto.

Al tempo stesso, tale soggetto dovrebbe monitorare anche la sicurezza informatica aziendale al fine di prevenire eventi di data breach e, al riguardo, le caselle di posta elettronica aziendali potrebbero vedere il costante presidio del DPO ovvero di qualche altro soggetto autorizzato all’interno dell’Organizzazione, che potrebbe attraverso le stesse segnalare un simile evento e spingere i dipendenti a porre in atto le procedure previste per tali ipotesi.

Inoltre, il DPO dovrebbe gestire le procedure di backup dei dati nonché operare una valutazione in merito alla resilienza degli uffici dell’area IT, i quali dovrebbero avere una certa “ridondanza” non tanto in termini di strumenti digitali quanto, piuttosto, in termini di dipendenti disponibili, così da avere tale organo sempre funzionante anche nel malaugurato caso che uno degli addetti non sia in grado di espletare le proprie mansioni per motivi di salute (si immagini, per esempio, che venga infettato proprio dal nuovo coronavirus)[54].

Al tempo stesso, una siffatta figura sarà indispensabile non solo per proteggersi (o rimediare) da determinati rischi per la durata dell’emergenza, bensì anche per il futuro assestamento delle aziende dacché il lavoro agile diventerà quasi sicuramente la norma per numerosi lavoratori (si pensi che in appena due mesi si è raggiunto il milione di smart worker in Italia e che il report dell’Osservatorio ne registrava poco meno di 600.000 a fine 2019), obbligando a rivedere e rimodulare la gestione di tale modalità di lavoro, così da renderla più sicura e affidabile.


Conclusioni

Sembra che questo virus abbia offerto al nostro Paese una irripetibile opportunità per poter ripensare il complesso dei modelli socioeconomici e produttivi, che tanto hanno sofferto proprio perché non erano adeguatamente preparati ad assorbire un tale shock. Si potrebbe quasi dire che vada ormai adottata a livello generalizzato quella capacità tipica dei militari di essere flessibili e leader al tempo stesso, così da poter gestire in modo migliore, più avanti, non solo le problematiche quotidiane ma anche e soprattutto quelle più critiche, risolvendo le vulnerabilità dell’azienda, prendendo le opportunità per tempo (quale, appunto, quella di introdurre il lavoro agile) ed evitando che ci si trovi in difficoltà in futuro[55].

Al tempo stesso, però, l’utilizzo esteso dello smart working ha dimostrato anche come sia doveroso sviluppare a livello generalizzato una vera e propria cultura della che tenda alla tutela della privacy dei singoli e alla protezione dei dati sensibili in senso generale, obiettivo conseguibile non solo mediante l’operato del legislatore ma anche e necessariamente attraverso uno sforzo congiunto che veda nuovamente protagonisti le imprese, i sindacati e i lavoratori, così da sviluppare una normativa regolamentare realmente applicabile e applicata da tutti gli attori del lavoro agile.

Solo attraverso questo grande sforzo sarà possibile sfruttare appieno gli aspetti positivi di siffatta modalità lavorativa minimizzandone, al contempo, i rischi che questa necessariamente comporta.


Notes

[1] Art. 18, co. 1, l. 81/2017 – “Le disposizioni del presente capo, allo scopo di incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro, promuovono il lavoro agile quale modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici per lo svolgimento dell’attività lavorativa. La prestazione lavorativa viene eseguita, in parte all'interno di locali aziendali e in parte all'esterno senza una postazione fissa, entro i soli limiti di durata massima dell'orario di lavoro giornaliero e settimanale, derivanti dalla legge e dalla contrattazione collettiva.”

[2] Waschke, Smart working, conciliare le esigenze di lavoratori e azienda, in Il Sole 24 Ore, 3 luglio 2018, disponibile su https://www.diritto24.ilsole24ore.com

[3] Spinelli, Tempi di lavoro e di non lavoro: quali tutele per il lavoratore agile?, in Giustizia Civile.com, 31 agosto 2018

[4] Calderara, Il “lavoro agile” nella l. n. 81 del 2017: prospettive d’indagine, in Giustizia Civile.com, 20 giugno 2018, 5-6

[5] Ivi, 9-10

[6] Diritto, tra l’altro, previsto espressamente dall’art. 19, co. 1 l. 81/2017, il quale, però, rimanda all’accordo tra le parti relativamente all’aspetto della sua disciplina. Ossia, trattasi di fatto di un diritto quasi “vuoto” che va riempito con quanto deciso dal datore di lavoro e dal suo subordinato.

[7] Falasca, Con lo smart working accordi modellati dalle parti firmatarie, in Il Sole 24 Ore, 8 novembre 2017, disponibile su https://www.diritto24.ilsole24ore.com

[8] Nozione chiaramente definita all’interno dell’art. 1, co. 1 dell’Accordo Quadro sul Telelavoro del 9 giugno 2004, il quale così statuisce: “Il telelavoro costituisce una forma di organizzazione e/o di svolgimento del lavoro che si avvale delle tecnologie dell’informazione nell’ambito di un contratto o di un rapporto di lavoro, in cui l’attività lavorativa, che potrebbe anche essere svolta nei locali dell’impresa, viene regolarmente svolta al di fuori dei locali della stessa.

[9] Santoro Passarelli, Lavoro etero-organizzato, coordinato, agile e telelavoro: un puzzle non facile da comporre nell’impresa in via di trasformazione, in WP C.S.D.L.E. “Massimo D'Antona”.IT, 2017, n. 327, 16

[10] Bottini e Morosini, Smart working, accordi non sempre validi. A partire dall’orario di lavoro, in Il Sole 24 Ore, 25 settembre 2017, disponibile su https://www.diritto24.ilsole24ore.com

[11] Duni, Il progetto nazionale di teleamministrazione pubblica, in “L’informatica giuridica e il Ced della Corte di Cassazione”, atti del Convegno presso l’Univ. di Roma “La Sapienza”, 27-29 nov. 1991, Milano 1992

[12] Art. 4, co.1, l. 191/1998 – “Allo scopo di razionalizzare l'organizzazione del lavoro e di realizzare economie di gestione attraverso l'impiego flessibile delle risorse umane, le amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 3 febbraio 1993, n. 29, possono avvalersi di forme di lavoro a distanza. A tal fine, possono installare, nell'ambito delle proprie disponibilità di bilancio, apparecchiature informatiche e collegamenti telefonici e telematici necessari e possono autorizzare i propri dipendenti ad effettuare, a parità di salario, la prestazione lavorativa in luogo diverso dalla sede di lavoro, previa determinazione delle modalità per la verifica dell'adempimento della prestazione lavorativa.”

[13] Poddighe, Un mito da sfatare - il radar (italiano) nella 2^ gm una guerra tecnologica ed un’occasione perduta, disponibile su Academia.edu

[14] Direttiva n. 3 del 2017, disponibile su funzionepubblica.gov.it

[15] Caratterizzato da un forte “schematismo” (Cass., 11 maggio 2010, n. 11405) che lo distingue nettamente rispetto all’impiego nelle aziende private

[16] Tampieri, Il lavoro agile nella pubblica amministrazione: opportunità o illusione?, in Giustizia Civile.com, 2018, 9.

[17] Art. 1, co. 486, L. n. 145/2018(cd. Legge di Bilancio 2019)

[18] Casadei, Smart working, mancano all’appello Pmi e Pa, in Il Sole 24 Ore, 30 ottobre 2019, disponibile su https://www.diritto24.ilsole24ore.com

[19] Comunicato stampa del gruppo Generali datato 19 ottobre 2017

[20] Comunicato stampa, Generali: firmato accordo su Smart Working, su fisac-cgil.it, 25 giugno 2018

[21] Sul punto si veda al link https://www.who.int/emergencies/diseases/novel-coronavirus-2019/technical-guidance/naming-the-coronavirus-disease-(covid-2019)-and-the-virus-that-causes-it

[22] ISS, Coronavirus, più casi della Sars ma più bassa letalità. Il commento di Gianni Rezza, su iss.it, 3 febbraio 2020

[23] Gabanelli e Querzè, Coronavirus, smartworking obbligatorio per tutti ma ad 11 milioni di italiani manca la connessione, su corriere.it, 15 marzo 2020

[24] Romani, Ora lo Smart Working diventa necessario, su Diritto24, 26 febbraio 2020 e Casadei e Melis, Lo smart working oltre l’emergenza: una sfida per le Pmi, in Il Sole 24 Ore, 2 marzo 2020, disponibile su https://www.diritto24.ilsole24ore.com

[25] Sul punto cfr. Marraffino, Il codice disciplinare in sede vale anche fuori, su Il Sole 24 Ore, 9 marzo 2020, disponibile su https://www.diritto24.ilsole24ore.com, che prende le mosse dalla Sent. n. 6022/2018 del Tribunale di Roma dove è stato riconosciuto il licenziamento per giusta causa nei confronti del “lavoratore che aveva pubblicato su Facebook la e-mail di invettive inviata al proprio superiore gerarchico, colpevole di «mettere bocca» o «questionare» sulle modalità di lavoro in giornata di smart working. Alla e-mail dai toni accesi seguivano altri post sui social network, tutti a carattere offensivo e svilente nei confronti dell’azienda, che sono stati considerati diffamatori dal giudice.

[26] Falasca, Lo smart working ammette verifiche su pc e posta digitali, in Il Sole 24 Ore, 9 marzo 2020, disponibile su https://www.diritto24.ilsole24ore.com

[27] Bottini, Flessibilità per orari e luoghi: il nodo chiave degli accordi, in Il Sole 2 Ore, 2 marzo 2020, disponibile su https://www.diritto24.ilsole24ore.com

[28] Castroreale, Perego e Ponti, Smart working, come garantire sicurezza informatica e privacy, su Agendadigitale.eu, 2 marzo 2020

[29] Perego e Ponti, Il ruolo del DPO nell’emergenza coronavirus (e non solo): indicazioni operative, su cybersecurity360.it, 13 marzo 2020

[30] Disponibile sul sito inail.it nella sezione comunicativa dedicata ad avvisi e scadenze

[31] Disponibile su funzionepubblica.gov.it

[32] Manca, Lo smart working nella PA: cos’è e com’è (complicato) farlo nella realtà, su Agendadigitale.eu, 5 marzo 2020

[33] Capozzi, Coronavirus, lo Stato non è digitale e le mille lingue della Pubblica amministrazione frenano lo smart working, su ilfattoquotidiano.it, 14 marzo 2020

[34] Lanfranchi, Smart working a prova Gdpr, come arginare i rischi privacy, su agendadigitale.eu, 13 marzo 2020

[35] Spinelli, op. cit., 7, 2018

[36] Trib. Roma, Sent. n. 6022/2018, dove è stato affrontato il caso di un lavoratore in smart working, licenziato disciplinarmente poiché, nel corso di uno scambio di e-mail nonché attraverso l’utilizzo di post pubblicati su Facebook, aveva rivolto ai superiori gerarchici ed ai colleghi offese immotivatamente gravi, così configurando un uso scorretto di internet e dei social network.

[37] Marraffino, Il codice disciplinare in sede vale anche fuori, in Il Sole 24 Ore, 9 marzo 2020, disponibile su https://www.diritto24.ilsole24ore.com

[38] Cafiero e Pezzali, Lo smart working da “Covid19” non è smart working, in Diritto24, 7 aprile 2020, disponibile su https://www.diritto24.ilsole24ore.com

[39] Vedasi l’art. 2, co. 1, lett. r) del D.P.C.M. 8 marzo 2020, che così dispone: “la modalità di lavoro agile disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81, può essere applicata, per la durata dello stato di emergenza di cui alla deliberazione del Consiglio dei ministri 31 gennaio 2020, dai datori di lavoro a ogni rapporto di lavoro subordinato, nel rispetto dei principi dettati dalle menzionate disposizioni, anche in assenza degli  accordi individuali ivi previsti; gli obblighi di informativa di cui all'art. 22 della legge 22 maggio 2017, n. 81, sono assolti in via telematica anche ricorrendo  alla  documentazione  resa  disponibile  sul  sito dell'Istituto nazionale assicurazione infortuni sul lavoro;

[40] Furlan, Smart working e problematiche applicative nel periodo di emergenza COVID-19, in Diritto24, 3 aprile 2020, disponibile su https://www.diritto24.ilsole24ore.com

[41] Macchione, Il lavoro agile ai tempi del Coronavirus, in Giustizia Civile.com, 14 aprile 2020

[42] Benatti e Colomba, Tutela della privacy alla prova dello smart working: linee guida, su cybersecurity360.it, 25 marzo 2020

[43] Falasca, op. cit., 2020

[44] Art. 23, D.lgs. 151/2015

[45] Bagnato, Coronavirus e smart working: cosa si può fare e cosa non si può fare?, su altalex.com, 24 marzo 2020

[46] Infatti, la giurisprudenza della Suprema Corte (Cass., Sent. n. 22313/2016) afferma la necessità di «rispettare la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali dettata dal D.lgs. n. 196 del 2003, i principi di correttezza, di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice; ciò, tenuto conto che tali controlli possono determinare il trattamento di informazioni personali, anche non pertinenti, o di dati di carattere sensibile (cfr. sul punto Cass. civ., 5 aprile 2012, n. 5525 e n. 18443 del 1° agosto 2013)» nell’effettuare i controlli sul lavoratore. Allo stesso modo il Garante Privacy con provvedimento 1° febbraio 2018 n. 53, disponibile su https://www.garanteprivacy.it/pdf?p_p_id=PdfUtil&p_p_lifecycle=2&p_p_state=normal&p_p_mode=view&p_p_resource_id=%2Foffering%2FprintPDF&p_p_cacheability=cacheLevelPage&_PdfUtil_articleId=8159221, ha ritenuto illecito ai sensi della normativa in materia di privacy il trattamento dei dati effettuato dal datore su un account di posta elettronica aziendale proprio perché era eccessivamente sproporzionato.

[47] Il Garante Privacy, sempre nel provvedimento del 1° febbraio 2018 n. 53, ritenne illegittimo un controllo che, oltre ad essere sproporzionato era anche effettuato senza previa informativa per i dipendenti.

[48] Benatti e Colomba, op. cit., 2020

[49] Maioletti, Smart working: di necessità virtù – le regole a tutela della privacy, su Diritto24, 7 aprile 2020.

[50] Infatti, tra le attività prodromiche all’attivazione di un rapporto di smart working, che in condizioni “normali” sarebbero rispettate, rientrano le seguenti: "Predisposizione di una policy aziendale recante una serie di elementi essenziali che rispondono agli obblighi di informativa facenti capo al datore di lavoro. Il datore deve indicare specifiche linee guida di comportamento – oltre ai basilari doveri di diligenza – per garantire una corretta esecuzione della prestazione lavorativa nel pieno rispetto delle misure di sicurezza e alla luce della necessaria cooperazione dello Smart worker. In particolare, deve suggerire accorgimenti e regole in tema di utilizzo e ricovero degli strumenti di lavoro; di gestione della password; di operatività dell’Antivirus; di conservazione di file e documenti; di protezione dei dispositivi portatili; di utilizzo di Internet e della posta elettronica. Deve, inoltre, indicare in via preventiva le conseguenze disciplinari in caso di violazione delle regole di comportamento e fornire informazioni circa eventuali attività di monitoraggio – che devono attenersi ai principi di necessità, correttezza, pertinenza e non eccedenza – (indicando modalità, finalità e soggetti autorizzati a procedervi) e la conservazione dei relativi dati. Valutazione preventiva – e obbligatoria – di impatto sulla protezione dei dati (ex art. 35 GDPR), ossia predisposizione di una procedura – soggetta a continua revisione – volta a descrivere un singolo trattamento di dati ovvero più trattamenti analoghi in termini di natura, ambito, contesto, finalità e rischi, al fine di valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di adottare tutte le misure di sicurezza idonee ad affrontarli. Predisposizione di una specifica procedura in caso di data breach (ex artt. 33, 34 GDPR) di cui devono essere adeguatamente informati i lavoratori, dovendo gli stessi dare tempestiva informazione al datore di lavoro nel caso in cui si verifichi – nell’ambito della loro attività – una violazione dei dati personali oggetto di trattamento che ponga a rischio i diritti e le libertà delle persone fisiche; predisposizione di un’adeguata informativa privacy – aderente ai dettami degli artt. 12 e 13 GDPR – da fornire al lavoratore circa il trattamento dei suoi dati personali raccolti mediante gli strumenti utilizzati e i software dai quali può derivare la possibilità di controllo da parte del datore di lavoro.” (Benatti e Colomba, op. cit., 2020)

[51] Fratini e Lecchi, Smart working e tutela del know how, su Diritto24, 4 maggio 2020

[52] Maioletti, op. cit., 2020

[53] Colombo, Strumenti per prevenzione diffusione Covid19: sanzioni in caso di privacy fai da te, in laborproject.it, 27 aprile 2020.

[54] Perego e Ponti, op. cit., 2020

[55] Non è un caso che Amazon, per la logistica, punti fortemente su militari, sia in servizio che congedati (Luna, Soldato Amazon, in rep.repubblica.it, 13 febbraio 2020)


  • Giappichelli Social