Smart working e data protection: ecco i rischi e le tutele da adottare

Se da un lato gli effetti positivi offerti dallo smart working sono sotto gli occhi di tutti, pochi si soffermano sul correlato aumento dei rischi per l’azienda. Senza l’adozione delle dovute cautele, il lavoro agile potrebbe trasformarsi in un pericolo importante non solo per l’impresa. Vediamo qual è la situazione e come farvi fronte. Il presente contributo, in particolare, si propone di analizzare i rischi che la “nuova” modalità di lavoro, ormai dilagante nel contesto nazionale, potrebbe presentare dal punto di vista dell’adeguata tutela dei dati personali, dei dati aziendali e della connessa sfera reputazionale.

La normativa

Le potenzialità offerte dallo smart working o “lavoro agile” sono emerse prepotentemente nel presente contesto emergenziale. La possibilità di poter adempiere da casa alle proprie incombenze lavorative, ove possibile, ha con ogni probabilità costituito un’“ancora di salvezza” per ogni categoria professionale e per ciascun settore produttivo. D’altronde, dovendo fare di necessità virtù, non sarà di certo esiguo il numero di imprenditori che, se fino a qualche tempo non gradiva l’idea di sapere i propri dipendenti a lavoro dall’ambiente domestico (abitudine prettamente italiana), attualmente ha acconsentito a tale mutamento di scenario superando le proprie diffidenze, velocizzando anche il percorso di responsabilizzazione non solo dei dipendenti. Quindi, se da un lato le positività connesse sono evidenti, dall’altro in pochi si interrogano sulle potenziali criticità – inevitabilmente- insite nel lavoro a distanza.

Dal punto di vista delle fonti normative che disciplinano il tema in analisi, è opportuno sottolineare, anzitutto, che il lavoro agile, disciplinato dagli artt. 18-24, L. n. 81/2017, è definito quale una “modalità flessibile di esecuzione del rapporto di lavoro subordinato allo scopo di incrementarne la produttività e agevolare la conciliazione dei tempi di vita e di lavoro”. Non si tratta, quindi, di un nuovo tipo di contratto di lavoro, bensì di una modalità di esecuzione del rapporto subordinato in parte all’interno dei locali aziendali e in parte all’esterno (senza una postazione fissa ed entro i limiti di durata massima dell’orario di lavoro giornaliero e settimanale stabiliti dalla legge e dalla contrattazione collettiva, ove applicabile).

L’emergenza nazionale derivante dal diffondersi del Covid-19 ha comportato l’introduzione di una procedura semplificata – rispetto a quella originariamente prevista dalla L. n. 81/2017 – per l’instaurazione dello smart working. Ai sensi dell’art. 1, I comma, n. 7, lett. a) del DPCM 11 marzo 2020, con riferimento alle attività produttive e professionali, è raccomandato “il massimo utilizzo da parte delle imprese di modalità di lavoro agile per le attività che possono essere svolte al proprio domicilio o in modalità a distanza”. Tale disciplina ad hoc, quindi, sarà destinata inevitabilmente a coesistere con l’impianto normativo che già regolarmente permea l’attività aziendale nel proprio regolare svolgimento. Per quanto in tal sede di interesse, è doveroso soffermarsi sugli aspetti concernenti i profili di “riservatezza” dei dati aziendali; dati che, come ovvio, saranno oggetto di consultazione ed utilizzo da parte dei dipendenti anche qualora quest’ultimi assolvessero alle proprie funzioni lavorative non più dalla consueta scrivania d’ufficio, ma dall’ambiente domestico.

Riservatezza e data protection

Come noto, in qualunque realtà aziendale, il vertice gerarchico mira a garantire che le attività di trattamento di dati personali connesse all’esecuzione delle diverse attività (ivi comprendendosi, a titolo meramente esemplificativo e non esaustivo, i dati personali afferenti alla clientela, anche potenziale, alle risorse interne, ai dipendenti e/o fornitori) avvenga nel pieno rispetto delle tutele e dei diritti riconosciuti dal Regolamento UE 679/2016 (“GDPR”); dal D. Lgs. n. 196/2003 – per come emendato dal D. Lgs. n. 101/2018 – (“Codice Privacy”) e dalle ulteriori norme applicabili in tema di protezione dei dati personali.

Oltre che ad un generale principio di responsabilizzazione del titolare del trattamento (c.d. accountability), che permea l’intero impianto normativo del GDPR, il Legislatore comunitario pone l’accento su un generale principio di “integrità e riservatezza” dei dati personali, in forza del quale questi ultimi, nell’arco dell’intero ciclo del trattamento, dovranno essere sempre trattati in modo da garantirne una sicurezza adeguata: in tal senso, il titolare dovrà adottare misure di sicurezza tecniche ed organizzative adeguate per proteggere i dati stessi da trattamenti non autorizzati o illeciti, dalla loro perdita o distruzione o dal danno accidentale. Sul punto, l’art. 5, par. 1, lett. f), del GDPR, stabilisce che i dati personali sono “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale”. Inoltre, l’articolo 32 del GDPR prevede che, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Si sottolinea, quindi, come all’azienda titolare del trattamento siano sostanzialmente imposti obblighi che si spingono oltre gli oneri del mero custode, risultando necessaria la previsione e la dotazione di misure tecniche e misure organizzative adeguate a ridurre al minimo il rischio che possano verificarsi violazioni sui dati personali oggetto di trattamento, per l’effetto mettendo a repentaglio i diritti e le libertà degli interessati coinvolti. D’altronde, tale impostazione permeava la previgente versione del Codice Privacy, il cui abrogato articolo 15 prevedeva una forma di responsabilità oggettiva in capo al titolare del trattamento^[3], ma, tuttora, risulta riscontrabile all’interno del GDPR. Sul punto, infatti, l’art. 82 del Regolamento espressamente prevede che “il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità … se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

Informazioni aziendali riservate e know-how

Ciascun dipendente, inoltre, in particolar modo con riferimento ad alcuni peculiari settori produttivi e/o professionali, potrebbe entrare in contatto con dati aziendali destinati a rimanere riservati all’interno della cerchia dei dipendenti o, in ogni caso, costituenti un know-how estremamente rilevante e suscettibile di valutazione economica se destinato all’esterno. In particolare l’art. 98 del Codice della Proprietà Industriale (“CPI”)^[4] attribuisce una specifica tutela ai “segreti commerciali”^[5]. Questi ultimi, infatti, devono presentare, congiuntamente, tre connotati specifici -delineati con chiarezza dall’art. 98 CPI- sostanziandosi, necessariamente, in notizie o informazioni non generalmente note o accessibili al pubblico, che abbiano un valore economico in quanto segrete e che siano sottoposte a misure ragionevolmente adeguate a mantenerle segrete.

È opportuno sottolineare come il mantenimento delle norme sui segreti commerciali nel CPI e la loro qualificazione come violazione di diritti della proprietà intellettuale (e non solo come atti di concorrenza sleale, sussistendone i relativi requisiti soggettivi) fa sì che esse siano direttamente applicabili non solo nei confronti dei concorrenti, ma anche nei confronti delle società non concorrenti e dei privati (in particolare, gli ex dipendenti) e che a tutela di essi sia possibile ricorrere alle norme procedurali stabilite per la tutela dei diritti di proprietà intellettuale^[6].

Rischi e conseguenze

Dalla mera lettura del dato normativo risulta quindi evidente come le peculiarità proprie di qualunque forma di lavoro a distanza comportino un fisiologico aumento delle fonti di rischio in materia di riservatezza dei dati aziendali, per tali intendendosi, anche alla luce di quanto sin qui argomentato, sia dati personali oggetto di trattamento da parte dell’azienda, che segreti commerciali o, comunque, informazioni costitutive del know-how aziendale^[7]. Tale situazione risulterebbe evidentemente acuita al ricorrere di determinate circostanze, di seguito riportate in via meramente esemplificativa e non esaustiva:

• condivisione dello spazio di lavoro con soggetti non autorizzati alla consultazione di tali dati;
• utilizzo di strumenti informatici personali e non aziendali per lo svolgimento delle proprie mansioni;
• archiviazione di documenti aziendali su sistemi di memorizzazione personali
• mancata adozione di una procedura interna volta ad impartire regole di condotta riguardo all’utilizzo degli strumenti informatici (in particolar modo nel contesto dello smart working).

Nell’eventualità in cui il rischio di una perdita di confidenzialità delle suindicate tipologie di dati si tramutasse in realtà, le potenziali conseguenze lesive per l’imprenditore/datore di lavoro/titolare risulterebbero ingenti, sì da poter compromettere il business. In particolare, per quanto attiene alla disciplina in materia di protezione dei dati personali, basti pensare che la divulgazione non autorizzata di dati personali a soggetti terzi rientra nel concetto di violazione (o data breach) di cui all’art. 4, par.1, n. 12 del GDPR. Violazione che, se non gestita correttamente, esporrebbe l’azienda a sanzioni sino a 10 milioni di euro o, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (ex art. 83 GDPR); fatte salve eventuali azioni risarcitorie promosse dai soggetti lesi dalla violazione medesima.

Altrettanto ingenti, seppur di difficile stima aprioristica, potrebbero risultare i danni per l’impresa che vedesse sottratti o duplicati i propri segreti commerciali ex art. 98 CPI. Sul punto si osservi che, qualora si riscontrasse una carenza per quanto attiene all’adozione di misure appropriate per tutelare la segretezza della documentazione (requisito essenziale per rientrare nel novero dei “segreti commerciali”), il soggetto leso non potrebbe beneficiare della tutela a tal fine specificamente riservata dall’ordinamento, con un conseguente aggravio dal punto di vista probatorio. Parimenti complesso potrebbe risultare provare la condotta di un dipendente infedele che, magari sfruttando i punti deboli venutisi a creare successivamente all’adozione dello smart working nel contesto aziendale, duplichi dei documenti frutto del know-how del proprio datore di lavoro per trarne un illecito vantaggio personale o per destinarlo a dei concorrenti sul mercato.

Danno reputazionale

I descritti scenari, oltre a costituire una tangibile fonte di nocumento economico per l’azienda, qualora resi pubblici, potrebbero evidentemente rappresentare altresì una fonte di danno reputazionale.

Risulta, infatti, di palmare evidenza come nell’opinione pubblica potrebbe ingenerarsi un senso di inaffidabilità nei confronti di un’azienda destinataria di sanzioni da parte del Garante Privacy o, ancora, colpevole di non essere riuscita a mettere in campo le adeguate tutele per difendersi da condotte sottrattive da parte di dipendenti infedeli. Tale senso di inaffidabilità, a sua volta, finirebbe col tradursi in una potenziale perdita di business e/o di clientela a cui andrebbero necessariamente aggiunti gli sforzi (anche economici) necessari a ripristinare la reputazione aziendale della stessa. Le descritte conseguenze, con ogni evidenza, risulteranno munite di più ampia incidenza per quanto attiene alle società quotate.

Smart working in sicurezza: i consigli

Le riflessioni qui esposte, muovendo dalla chiara consapevolezza dei vantaggi connessi all’adozione di soluzioni di smart working, mira a chiarire come dette soluzioni debbano essere necessariamente accompagnate da una serie di misure tecniche ed organizzative volte a scongiurare il verificarsi dei descritti eventi negativi. Eventi che, come ampiamente evidenziato, potrebbero determinare il patimento di danni patrimoniali e non patrimoniali anche di ingente entità. che potrebbero compromettere il business

È, quindi, anzitutto doveroso un confronto costante con l’infrastruttura IT aziendale affinché quest’ultima possa approntare tutte le soluzione tecniche necessarie a ridurre il rischio di illecita sottrazione o duplicazione di documenti, condotte che, inevitabilmente, potrebbero risultare di più semplice integrazione lavorando a distanza. Parimenti si suggerisce, a mero titolo esemplificativo e non esaustivo, l’adozione di policies volte ad impartire regole di condotta con riferimento all’utilizzo degli strumenti informatici che ben potrebbero accompagnarsi alla previsione di specifiche clausole di riservatezza all’interno dei contratti che regolano i rapporti con i collaboratori/dipendenti aziendali.

_

Note

1. Responsabile del Dipartimento Data Protection, Compliance e Cyber Security, Studio Previti Associazione Professionale ↑
2. Avvocato, Studio Previti Associazione Professionale ↑
3. La cui attività di trattamento dati era espressamente paragonata all’esercizio di un’attività pericolosa ex art. 2050 c.c. ↑
4. Lo stesso Codice della Proprietà Industriale fa salva la disciplina della concorrenza sleale: art. 99. ↑
5. Tale formulazione è stata oggetto di una recente riforma normativa che, fornendo attuazione alla direttiva (UE) 2016/943 sulla protezione del know-how riservato e delle informazioni commerciali riservate al fine di prevenirne l’illecita divulgazione, ha sostituito alla nozione di “informazioni aziendali riservate”, quella di “segreti commerciali”, mantenendone inalterato il relativo contenuto. E’ stato infatti pubblicato sulla Gazzetta Ufficiale del 7 giugno 2018 il Decreto Legislativo 11 maggio 2018, n. 63 sulla “protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti”. ↑
6. Cfr. GALLI in Quotidiano Giuridico, Pluris. ↑
7. Tale constatazione risulterebbe naturalmente ampliata nella propria portata per quanto attiene a specifici settori produttivi che, ad esempio, fondano la propria attività su modelli brevettuali o, ancora per specifiche categorie professionali quali gli ingegneri e gli architetti. ↑