Protocollo sul Lavoro agile: la tutela della privacy.

Il 7 dicembre è stato sottoscritto, tra Ministero del Lavoro e Parti Sociali, il Protocollo nazionale sul lavoro in modalità agile.
L’art. 12 è dedicato alla disciplina della protezione dei dati personali. Il crescente ricorso da parte delle aziende e Pubbliche Amministrazioni al lavoro agile ha infatti posto molte questioni in termini di sicurezza informativa e gestione della privacy.

Il Protocollo detta una serie di prescrizioni ed azioni che il datore di lavoro deve porre in essere e che si inseriscono nel quadro imposto dal Regolamento UE n. 679/2016 e nella conseguente normativa nazionale. Le imprese, al fine di adottare in modo efficiente questa modalità di lavoro e di beneficiarne dei vari vantaggi, dovranno inevitabilmente ragionare in termini proattivi di privacy by design e accountability.

Orbene, stiamo parlando di lavoro agile e NON di SMART WORKING che è altro!

Vediamo insieme le regole generali da seguire.

1) Il lavoratore in modalità agile è tenuto a trattare i dati personali cui accede per fini professionali in conformità alle istruzioni fornite dal datore di lavoro.
Ciò sta a significare che il datore deve essere consapevole dell’attività che il lavoratore andrà a svolgere e degli strumenti che lo stesso andrà ad utilizzare così da poter predisporre (far comprendere) tutte le istruzioni necessarie affinché il dipendente possa trattare adeguatamente i dati personali durante il proprio lavoro.

2) Il lavoratore è tenuto alla riservatezza sui dati e sulle informazioni aziendali in proprio possesso e/o disponibili sul sistema informativo aziendale e quindi va reso consapevole (anche attraverso una precisa classificazione ed individuazione delle informazioni aziendali) di quali informazioni stia trattando.

3) Il datore di lavoro adotta tutte le misure tecnico-organizzative adeguate a garantire la protezione dei dati personali dei lavoratori in modalità agile e dei dati trattati da questi ultimi.
Inoltre dovranno di contro essere adottate, nella consapevolezza dello strumento utilizzato nell’ambito dello svolgimento dell’attività in smart working, quelle misure tecniche adeguate tali da garantire i dati personali del dipendente siano adeguatamente difesi.

Queste le regole specifiche.

A seguito di queste indicazioni di carattere generale, il Protocollo espressamente richiama l’obbligo da parte del datore di lavoro di porre in essere tutte quelle azioni e tutele disciplinate dall’art. 4 dello Statuto dei Lavoratori in termini di controllo a distanza dell’attività lavorativa.

E' ben noto come la criticità più imponente nell’ambito del lavoro agile sia proprio il difficile bilanciamento tra la necessità di un qualche controllo da parte del datore di lavoro dell’attività dei propri dipendenti e dall’altra la salvaguardia dei diritti dei lavoratori.

Quindi, nella redazione delle varie istruzioni, sopra brevemente menzionate, da fornire al lavoratore dovranno essere presi in considerazione gli aspetti che possono determinare un controllo dell’attività lavorativa del dipendente e, conseguentemente, adottare tutte le garanzie prescritte dalla legge (dagli accordi sindacali alle informative privacy).

Il Protocollo, in piena coerenza con il GDPR 679/2016, stabilisce espressamente che spetta al datore di lavoro/titolare del trattamento l’aggiornamento del registro del trattamento dei dati connessi alle attività svolte anche in modalità di lavoro agile. Al fine di verificare che gli strumenti utilizzati per il lavoro in modalità agile siano conformi ai principi di privacy by design e by default.

Proprio per tale ragione ai fini del rispetto del principio di accountability, la norma consiglierebbe l’esecuzione di valutazione d’impatto (DPIA) dei trattamenti.

La Sicurezza.

Significativo è il comma di chiusura dell’art. 12 del Protocollo, perché definisce misure tecniche ed organizzative che il datore può adottare:
1) VPN;
2) piani di backup;
3) protezione malware;
4) formazione e sensibilizzazione sull’utilizzo, custodia e protezione degli strumenti impiegati per rendere la prestazione;
5) formazione sia sulle cautele comportamentali da adottare nello svolgimento della prestazione lavorativa in modalità agile;
6) redazione e formazione in materia di gestione dei data breach.

In conclusione il datore di lavoro/titolare del trattamento dovrà essere in grado di giustificare e provare le ragioni per le quali, in caso di contestazioni o violazioni, abbia deciso di adottare o meno determinate tutele e garanzie.