di Maria Elena Iafolla*
Nei due lunghi anni di pandemia abbiamo ormai imparato a conoscere il lavoro agile o smart working, i pilastri su cui si fonda ed il cambio di cultura che porta con sé.
La fine dello stato d’emergenza determina anche la fine dello smart working emergenziale applicato in questo periodo, come ha raccontato questo Blog nel precedente contributo. Al di là degli aspetti puramente giuslavoristici, tuttavia, il ritorno a una normalità, seppur nuova, richiede di considerare un altro aspetto tanto importante quanto sottovalutato durante l’intero periodo pandemico: la privacy, da intendersi ambo i lati e cioè sia come necessaria tutela del lavoratore, sia come protezione dei dati e delle informazioni aziendali.
Se la mancanza di attenzione per questo tema è stata in un certo qual modo (non giustificabile, ma) comprensibile nel marzo del 2020, quando la priorità di imprese ed enti era sopravvivere e continuare l’operatività, è importante ri-partire adesso con il piede giusto.
Smart working e privacy dei lavoratori
È normale che l’uso maggiore di dispositivi elettronici, collegamenti, connessioni determini un maggior trattamento dei dati dei lavoratori. Sono incontestabili altresì le modifiche organizzative, che spostano il controllo dalla “presenza” al raggiungimento degli obiettivi. Tutti questi cambiamenti profondi impongono al datore di lavoro di valutare attentamente se i mezzi e i sistemi utilizzati siano rispettosi della normativa privacy / GDPR e dello Statuto dei Lavoratori, anche per quanto riguarda il controllo a distanza (su monitoraggio dei risultati e controlli a distanza, segnalo il contributo che segue).
Alla luce delle valutazioni fatte, è essenziale integrare e aggiornare l’informativa sul trattamento dei dati fornita ai lavoratori: conoscere perché e come i propri dati vengono trattati non solo è un diritto imprescindibile dei lavoratori, ma permette di creare una relazione di fiducia e rispetto tra le parti, con effetti positivi sull’intero rapporto di lavoro.
Smart working e protezione dei dati
Privacy significa anche protezione dei dati personali e delle informazioni aziendali e a tal fine, la normativa privacy/GDPR impone al titolare del trattamento (l’azienda, per esempio, o l’ente) di adottare misure tecniche ed organizzative adeguate a garantire la sicurezza dei dati.
Al di là delle misure tecniche da implementare o dei documenti da redigere, l’aspetto più importante rimane sempre il fattore umano. Ciò vale ancor più, evidentemente, quando la prestazione è resa in smart working e dunque i dati vengono trattati anche fuori dal perimetro dei locali aziendali o, ad esempio, per mezzo di dispositivi personali o promiscui. Se gli attacchi informatici vengono percepiti come circostanze virtuali e perciò “lontane”, infatti, la verità è che ancora oggi la maggior parte delle minacce ha origine dalle email e la “vulnerabilità” più sfruttata è l’essere umano.
Questo significa che misura di sicurezza imprescindibile deve essere elevare attenzione e consapevolezza dei lavoratori circa i rischi che derivino dall’uso dei dispositivi informatici, particolarmente in smart working, con campagne di formazione e informazione cicliche e mirate.
Proteggere i dati e le persone
Nonostante la materia sia spesso guardata con la diffidenza di un obbligo o addirittura di un obolo, la verità è che proteggere i dati e le informazioni tutela certo l’ente, ma anche le persone. Un aspetto forse troppo sottovalutato è quello delle conseguenze di una violazione di dati sulla persona che l’abbia (o senta di averla) causata: ansia, stress, paura per i danni o i provvedimenti disciplinari possono portare disturbi e malessere anche fisico. Al contrario, fornire ai lavoratori gli strumenti per comprendere le minacce e i rischi e per fare la propria parte, vuol dire anche coinvolgerli in un sistema, in un vero e proprio lavoro di squadra con grandi benefici per il rapporto tutto.
Avvocato, esperta di tecnologia, privacy e cyber-security, anche in relazione alle tematiche giuslavoristiche, perfezionata in Criminalità informatica e investigazioni digitali presso l’Università degli Studi di Milano. Vicepresidente dell’associazione DFA – Digital Forensics Alumni, formatrice e autrice in materia di diritto dell’informatica, privacy e GDPR.