Smart working in progress (Parte 3)
Sicurezza delle informazioni e protezione dei dati. Le implicazioni legali.
A conclusione di questa breve rassegna dei principali argomenti relativi alle specifiche problematiche correlate all’ampia diffusione che ha avuto il lavoro agile, o smart working, nella fase dell’emergenza sanitaria ormai trascorsa, e che molto probabilmente avrà anche nel futuro, almeno prossimo, delle tante aziende che vi hanno fatto ricorso, in alcuni casi innestando percorsi virtuosi di modernizzazione e miglioramento dell’efficenza delle attività produttive, sembra appropriato esaminare ora, da un punto di vista legale, le non poche criticità in materia di sicurezza delle informazioni e protezione dei dati personali che ne caratterizzano lo svolgimento.
Il controllo del lavoro a distanza
Cominciamo subito con il dire che, sul presupposto che il lavoro agile è una particolare modalità espressiva del rapporto di lavoro dipendente, sono senz’altro da ritenere applicabili alla fattispecie che ci occupa, anche le norme previste dallo Statuto dei lavoratori, prima tra tutte quella di cui all’art. 4 che, come è noto disciplina, prevedendo specifiche limitazioni, il c.d. controllo a distanza dell’attività del lavoratore subordinato.
La previsione in esame, che ha la sua ratio genetica nella necessità di mantenere all’interno di confini umani, la verifica dell’adempimento della prestazione del lavoratore da parte del datore di lavoro, scongiurando, nell’interesse della salvaguardia della dignità, della riservatezza e della libertà di espressione e comunicazione del dipendente, l’attuazione di forme pervasive di monitoraggio tecnologico ha, nel recente passato, visto un significativo intervento del legislatore che, con il c.d. Jobs Act, nel 2015, ne ha ridisegnato i tratti essenziali.
Nello specifico di quanto ci occupa ora, occorre tenere nella debita considerazione il contenuto del commi 2 e 3 della norma richiamata che, rispettivamente prevedono, il primo, che le disposizioni protettive del lavoratore, che subordinano l’impiego di strumenti tecnologici dai quali derivi la possibilità di controllo a distanza dell’attività del lavoratore a una previa concertazione sindacale, o in mancanza di sindacati in azienda, a un provvedimento autorizzativo dell’amministrazione competente per territorio, non trovino applicazione nei confronti “degli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e degli strumenti di registrazione degli accessi e delle presenze”.
Il secondo, che il datore di lavoro possa utilizzare per tutti i fini connessi al rapporto di lavoro, ivi compreso quello disciplinare, le informazioni raccolte dai sistemi utilizzati, a condizione che “sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”.
Utilizzo di strumenti elettronici
Alla luce di ciò che precede, volendo esaminare più da vicino la declinazione applicativa degli importanti principi di protezione dei diritti della personalità dei lavoratori, sanciti nelle importanti disposizioni di legge sopra richiamate, occorre muovere da una constatazione di base riferibile, non solo allo smart working, ma di certo anche a questo, vale a dire, l’impiego da parte del prestatore d’opera, per rendere la prestazione lavorativa, di strumenti elettronici di elaborazione che, per definizione, operano generando registrazioni relative all’impiego che degli stessi è svolto dal loro utilizzatore.
Mi riferisco, per esempio, alle funzioni integrate nei principali sistemi operativi che, per default, sono in grado di memorizzare, per lo più in forma silente e senza che l’utente ne sia avveduto, informazioni puntuali e dettagliate relative allo loro utilizzo, generando registrazioni, anche permanenti, i c.d. log file che, qualora ricomposti o esaminati con specifici strumenti di analisi consentono, a posteriori, di ricostruire gran parte delle azioni svolte dal loro utilizzatore, rendendo, di fatto possibile un controllo a distanza relativo alla prestazione lavorativa resa attraverso di essi.
Da tale constatazione deriva, dal mio punto di vista, l’interrogativo relativo, per esempio, a come debbano essere considerati, in relazione alle disposizioni del comma 2 dell’art. 4 dello statuto dei lavoratori, il computer o lo smartphone in uso al personale.
I provvedimenti del Garante
Si tenga presente, oltre tutto, per completare il quadro, che il fatto che il dipendente in smart working possa lavorare in luoghi e tempi diversi da quelli che i sistemi di cui sopra registrerebbero, se la prestazione fosse resa nell’ambito della sede aziendale, durante l’orario prestabilito, consente la memorizzazione di specifiche categorie di dati che non necessariamente formerebbero oggetto di conoscibilità da parte del datore di lavoro, il quale, banalmente, potrebbe conoscere dove il dipendente si è recato, attraverso l’analisi delle reti WI-FI alle quali egli si è collegato, ovvero, quale sia il fornitore di connettività dallo stesso impiegato.
Su come debbano essere considerati gli strumenti hardware e software nella disponibilità del dipendente, in relazione alle disposizioni sopra citate, particolarmente significativi appaiono alcuni recenti provvedimenti del garante per la protezione dei dati personali. Nello specifico, l’Autorità ha chiarito, con provvedimento 13 luglio 2016, doc. web. 5408460 che: “In tale nozione, infatti – e con riferimento agli strumenti oggetto del presente provvedimento, vale a dire servizio di posta elettronica e navigazione web – è da ritenere che possano ricomprendersi solo servizi, software o applicativi strettamente funzionali alla prestazione lavorativa, anche sotto il profilo della sicurezza”. Da questo punto di vista e a titolo esemplificativo, possono essere considerati ‘strumenti di lavoro’ alla stregua della normativa sopra citata il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale, fra cui anche il collegamento a siti internet.
Costituiscono parte integrante di questi strumenti anche i sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (per esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione dei soli dati esteriori, contenuti nella cosiddetta ‘envelope’ del messaggio, per una breve durata non superiore comunque ai sette giorni; sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle postazioni di lavoro o sui server per l´erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso).
Altri strumenti pure utili al conseguimento di una elevata sicurezza della rete aziendale, invece, non possono normalmente consentire controlli sull’attività lavorativa, non comportando un trattamento di dati personali dei dipendenti, e di conseguenza non sono assoggettati alla disciplina di cui all´art. 4 Stat. lav. (per esempio sistemi di protezione perimetrale – firewall – in funzione antintrusione e sistemi di prevenzione e rilevamento di intrusioni – IPS/IDS – agenti su base statistica o con il ricorso a sorgenti informative esterne).