il vademecum

Lavoro agile nella PA: piccola guida operativa per ridurre i rischi

L’articolo 87 del decreto “Cura Italia” stabilisce che il lavoro agile diventa la modalità ordinaria di svolgimento della prestazione lavorativa nelle pubbliche amministrazioni. Ecco allora un vademecum che si ispira alla numerosa letteratura sul lavoro agile e alla Guida pratica pubblicata dal Dipartimento per la Funzione

27 Mar 2020
Giovanni Manca

consulente, Anorc


L’emergenza sanitaria generata dalla diffusione del coronavirus ha portato il Governo a adottare misure economiche e organizzative di varia natura con il Decreto-legge 17 marzo 2020, n.18 meglio noto come “Cura Italia”.

L’articolo 87 del decreto stabilisce che il lavoro agile diventa la modalità ordinaria di svolgimento della prestazione lavorativa nelle pubbliche amministrazioni. Per attuare questa modalità operativa in tempi rapidi bisognerebbe essere pratici e pragmatici per introdurre il minimo indispensabile.

In questa sede sviluppiamo una piccola guida operativa che si ispira alla numerosa letteratura sul lavoro agile e alla Guida pratica pubblicata dal Dipartimento per la Funzione Pubblica.

Lavoro agile nella PA, gli aspetti di sicurezza

Non ci soffermiamo su questioni di glossario tipo le differenze tra telelavoro, lavoro delocalizzato, lavoro agile e altri termini. Non trattiamo per scelta anche il tema relativo a quanto si poteva fare e non si è fatto, ad esempio per la sicurezza, la protezione dei dati personali e l’organizzazione digitale del lavoro. Ovviamente questo non aver fatto ha un impatto negativo sulla soluzione che è possibile adottare ma l’obiettivo normativo è quello di consentire al lavoratore di operare al di fuori dell’ufficio dove lavora abitualmente.

Le operazioni a distanza richiedono fisiologicamente due elementi di base. Una rete alla quale connettersi e una postazione di lavoro.

Se non si dispone di risorse dell’organizzazione (per organizzazione intendiamo la pubblica amministrazione) è possibile utilizzare risorse personali.

Iniziamo con gli aspetti di sicurezza (che dovrebbero già essere gestiti nell’ambito della protezione dei dati personali) nel caso più critico di utilizzo un collegamento personale con un computer personale.

Un collegamento personale con un Pc personale

Il caso peggiore è quello dello smartphone utilizzato su canale di comunicazione in chiaro tramite la connessione Wi-Fi al quale è connesso un computer non aziendale.

È facilmente ipotizzabile che questi computer casalinghi non abbiano una protezione di sicurezza informatica. Possono utilizzare la protezione di base di Windows 10 ma questo sistema operativo deve essere aggiornato. Un caso differente e critico è quando il computer casalingo ha Windows 7 che non ha più il supporto di Microsoft. Gli antivirus gratuiti non sono sufficienti quindi bisognerebbe attivare uno strumento “robusto”.

Le connessioni devono garantire un accesso sicuro per l’accesso esterno/remoto. La sicurezza migliore è quella dell’attivazione di una rete privata virtuale (VPN) tra estremi (end to end).

In questo modo anche se la connessione Wi-Fi è poco sicura, la VPN garantisce che i dati che transitano non sono intercettabili. A rigore tecnologico anche l’eventuale utilizzo di modem/router casalingo dovrebbe essere allo stato dell’arte. Questa attività richiede personale specializzato e il dipendente dovrebbe essere supportato.

La configurazione del computer casalingo e della rete

WHITEPAPER
Che differenza c’è tra i Business Continuity e Disaster Recovery?
IoT
Manifatturiero/Produzione

La configurazione del computer casalingo e della rete sicura dovrebbe essere fatta in modo tale da individuare anomalie negli accessi o duplicazioni/tentativi di accessi.

Il tracciamento, peraltro previsto nella normativa sui dati personali, deve essere attivo e monitorato, soprattutto nelle fasi iniziali.

Un corso rapido ma con tutto il minimo indispensabile per il dipendente è obbligatorio. Non è certo possibile fare un efficace hardening (irrobustimento di sicurezza) delle componenti personali ma almeno la riduzione del rischio per la diffusione di password, dati personali e sensibili derivanti dalla possibilità di accedere a risorse non protette adeguatamente deve essere gestita. Un esempio può essere quello della protezione delle risorse sul computer casalingo rispetto alla possibilità di acquisirne il controllo remoto che ovviamente deve essere fatto solo per scopi indispensabili da persone conosciute e fidate.

La buona volontà aiuta ma l’inesperienza può costare cara, quindi sono da evitare attività “fai da te” con scelta di software e APP sconosciute e magari trovate per caso negli APP store.

A questo punto, siamo connessi in modo sicuro alla rete dell’organizzazione e possiamo iniziare ad operare da remoto. La cosa migliore è che le mansioni rimangano inalterate e che gli obiettivi lavorativi siano identici a quelli svolti in sede, in presenza fisica.

Ove necessario per l’attività lavorativa si utilizzeranno le tecniche della conferenza sia audio che video, del contatto telefonico e della messaggistica istantanea (tipicamente Whatsapp).

Il tutto curando le regole sui dati personali evitando la loro circolazione al di fuori delle regole del registro dei trattamenti che l’organizzazione ha redatto in conformità alla normativa sulla protezione dei dati personali.

Lavoro agile e PA: cosa si può fare da remoto

Il vero e principale problema operativo è nella risposta al quesito “Cosa posso fare da remoto?”.

Posso certamente leggere la posta elettronica ordinaria o quella certificata (PEC). Questi applicativi sono fruibili in modalità web. Altri applicativi fruibili da remoto sono quelli del protocollo informatico che, come è noto, utilizza la PEC per l’ingresso e l’uscita dei documenti informatici relativi alla specifica Area Organizzativa Omogenea – AOO).

Naturalmente lo scopo principale è quello di limitare la presenza fisica del lavoratore nell’organizzazione. Quindi se il protocollo non è fruibile da remoto si può operare con la cosiddetta procedura di emergenza o, viste le sospensioni del decreto-legge 18/2020 considerare il protocollo come procedura non tale da essere indifferibile, almeno fino al 15 aprile 2020, salvo ulteriori proroghe.

Per il resto l’organizzazione del lavoro agile non è un abito di taglia unica quindi è la specifica organizzazione a dover comprendere come agire. Il rapporto collaborativo tra direzione, amministrativisti ed informatici deve essere elevatissimo e l’obiettivo deve essere quello della semplificazione ai fini della digitalizzazione del procedimento.

Alcune parole risolutive come “utilizzare il cloud” non lo sono se si opera con documenti cartacei, con faldoni ma anche con procedure cartacee. Il cloud è luogo di scambio di documenti informatici, di messa in opera di procedure comuni, condivise tra amministrazioni. Ma se si opera in modo cartaceo l’unica soluzione rapida è quella dello scambio di documenti fotografati tramite la fotocamera dello smart phone. Questa è una soluzione estrema da adottare con molta prudenza e solo in casi di effettiva necessità, applicando le regole sulla protezione dei dati personali.

Meglio l’utilizzo di software di cattura multicanale che possono, in modo efficace, sopperire alla indisponibilità di uno scanner documentale.

In un periodo leggermente più lungo è possibile attivare il lavoro agile per la telemedicina dove una video conferenza è già un passo avanti. Anche le risorse umane e gli uffici acquisti possono rapidamente attuare procedure digitali e remote.

Un altro abito da cucire su misura per il lavoro agile è nella didattica a distanza.

Piattaforme di servizi semplici ed efficaci possono essere attivate in tempi brevi se si utilizza il DTM (Digital Transaction Management) ma anche una gestione documentale digitale di medio livello con fruibilità da remoto porta a risultati sufficienti o adeguati per il lavoro agile.

Da non dimenticare il valore legale dei documenti informatici che generalmente è associato alla firma digitale del personale direttivo. In questo settore è da anni disponibile la firma remota quindi in regime di lavoro agile, avendo a disposizione documenti e procedure digitali, la sottoscrizione non è un problema.

Conclusioni

Certamente il lavoro agile non è una teleconferenza, un telefono, una connessione remota a un applicativo. Questi elementi sono di urgenza e rapidamente possono essere attivati. Ma il lavoro agile è un procedimento amministrativo digitale che per sua natura è delocalizzato e può essere svolto senza vincoli di tempo (grazie alla organizzazione per obiettivi del lavoro stesso) e di spazio fisico che diventa virtuale.

Concludiamo con una breve considerazione sulle procedure di sicurezza da attuare ai sensi del Codice dell’amministrazione digitale (CAD) e del regolamento europeo sulla protezione dei dati personali (GDPR). Se l’organizzazione ha attuato le procedure di ripristino dopo il disastro e di continuità operativa (disaster recovery e business continuity) il lavoro agile, dal punto di vista organizzativo può essere associato alla indisponibilità della sede operativa e quindi alle procedure di recupero delle attività giudicate critiche a priori dalle procedure previste dagli standard e dalle specifiche professionalità.

WHITEPAPER
Strategie DevOps: perché puntare su un'infrastruttura capace di gestire al meglio le applicazioni?
Cloud
DevOps

In ogni caso aver sviluppato procedure per le emergenze è doveroso e indispensabile soprattutto se consideriamo che quanto discutiamo in questi giorni di emergenza sul lavoro agile dovrebbe essere superato dalla semplice applicazione della normativa sull’organizzazione del lavoro pubblico e sul digitale vigente da anni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3