il protocollo

Lavoro agile nel privato: che succede con i dati personali trattati? Gli aspetti da migliorare

A dicembre 2021 è stato adottato il “Protocollo nazionale sul lavoro in modalità agile” per il settore privato. Tra le previsioni in materia di protezione e sicurezza dei dati si prevede l’adozione di un codice di condotta, ma la dimensione del fenomeno e il numero crescente di cyberattacchi forse richiedono qualcosa in più

07 Feb 2022
Gabriele Franco

Junior Associate di Panetta Studio Legale

Rocco Panetta

Partner Panetta Studio Legale e IAPP Country Leader per l’Italia

smartworking3

Fino a poco tempo fa, di smart working in Italia si parlava poco, e spesso in modo confuso. La pandemia, su questo fronte, ha agito da vero e proprio catalizzatore. Lo confermano i dati. Secondo le rivelazioni Eurostat, in Unione europea i lavoratori tra i 15 e 64 anni ad operare abitualmente da casa nel 2020 sono stati il 12,3% (nell’ultimo decennio erano costantemente il 5%), con l’Italia al tredicesimo posto in classifica (12,2%). Stando poi a quanto indicato dall’Osservatorio Smart Working del Politecnico di Milano, nel nostro Paese – dove il lavoro agile veniva istituito già nel 2017 con la legge n. 81 – si è passati da circa 570.000 lavoratori agili del 2019 ad oltre 6,5 milioni durante il primo lockdown (marzo 2020), con le più recenti stime che parlano di 4,38 milioni di smart workers nell’era post Covid-19.

Nondimeno, se la velocità di reazione all’imprevedibile contingenza pandemica ha portato il lavoro agile a diffondersi su larga scala, quella stessa accelerazione non ha consentito di maturare una piena consapevolezza su rischi ed opportunità di tale modalità di lavoro, soprattutto sul fronte delle tecnologie utilizzate da casa e della relativa circolazione, protezione e sicurezza dei dati, in particolar modo personali, trattati durante l’espletamento dell’attività lavorativa in modalità agile. Un aspetto cruciale che, tuttavia, è stato principalmente rincorso, nella prassi di tutti i giorni, e quasi mai anticipato, specialmente in tempo di pandemia.

Protocollo sul lavoro agile nel privato: come adeguarsi e le ricadute privacy

Gli aspetti privacy del nuovo protocollo sullo smart working nel settore privato

In questo scenario si è inserito il “Protocollo nazionale sul lavoro in modalità agile” (“Protocollo”), sottoscritto lo scorso 7 dicembre dalle parti sociali sotto l’egida del Ministro del Lavoro e delle Politiche Sociali e volto a disciplinare lo smart working in ambito privato. Nel definire le linee di indirizzo per la contrattazione collettiva, nazionale e aziendale e/o territoriale, il Protocollo dedica anche un articolo, il dodicesimo, ai profili legati alla protezione dei dati personali.

WHITEPAPER
Ripensare il performance management. Quali nuovi approcci possibili? Scopri l’app Feedback4You!
Risorse Umane/Organizzazione
Smart working

Al di là del primo comma, rivolto specificamente al lavoratore (onerato di trattare i dati personali cui accede nell’espletamento della propria attività conformemente alle istruzioni impartite dal datore, con annesso obbligo di riservatezza rispetto alle informazioni aziendali in proprio possesso e/o disponibili sul sistema informativo del titolare), l’articolo prende in considerazione una serie di adempimenti del datore. In particolare, quest’ultimo dovrà:

  • adottare tutte le misure tecnico-organizzative adeguate a garantire la protezione dei dati personali dei lavoratori agili e dei dati trattati da costoro;
  • informare il lavoratore agile in merito ai trattamenti che lo riguardano, anche nel rispetto di quanto disposto dall’articolo 4 della Legge 300/1970 (lo Statuto dei lavoratori);
  • fornire al lavoratore agile le istruzioni e l’indicazione delle misure di sicurezza da osservare per garantire la protezione, segretezza e riservatezza delle informazioni trattate per fini professionali;
  • aggiornare il registro dei trattamenti con quelli connessi alle attività svolte in modalità agile;
  • eseguire, come sempre raccomandata, una valutazione d’impatto sulla protezione dei dati (DPIA) al fine di verificare che gli strumenti utilizzati per il lavoro agile siano conformi ai principi di privacy by design e by default;
  • promuovere l’adozione di policy aziendali basate sul concetto di security by design, che prevedano la gestione dei data breach e l’implementazione di misure di sicurezza adeguate (come crittografia, sistemi di autenticazione e VPN, piani di backup e protezione malware);
  • favorire iniziative di formazione e sensibilizzazione dei lavoratori, sia avuto riguardo all’utilizzo, custodia e protezione degli strumenti impiegati per rendere la prestazione, sia rispetto alle cautele comportamentali da adottarsi nello svolgimento della prestazione lavorativa in smart working, compresa la gestione dei data breach.

L’articolo, che fa comunque salva l’applicabilità della normativa data protection, si chiude con la convergenza delle parti sociali circa la necessità di adottare un codice di condotta per il trattamento dei dati personali dei lavoratori in modalità agile.

Abbiamo già parlato di codici di condotta, ai sensi dell’art. 40 del GDPR, proprio su questa testata in un precedente articolo di questa serie programmatica di approfondimenti per la ripartenza, pubblicato il 14 ottobre scorso.

Le linee guida per il lavoro agile nelle pubbliche amministrazioni

Per completezza, vale la pena anche aprire una breve parentesi sul gemello settore pubblico. A tal riguardo, con il Decreto dell’8 ottobre della Presidenza del Consiglio dei ministri – Dipartimento della Funzione Pubblica (recante le modalità organizzative per il rientro in presenza dei lavoratori delle PA) si è previsto, inter alia, che «[n]elle more della definizione degli istituti del rapporto di lavoro connessi al lavoro agile da parte della contrattazione collettiva e della definizione delle modalità e degli obiettivi del lavoro agile da definirsi ai sensi dell’art. 6, comma 2, lettera c), del decreto-legge 9 giugno 2021, n. 80, convertito, con modificazioni dalla legge 6 agosto 2021, n. 113 nell’ambito del Piano integrato di attività e organizzazione (PIAO) […] l’accesso a tale modalità […] potrà essere autorizzato esclusivamente nel rispetto delle seguenti condizionalità: […] c) l’amministrazione mette in atto ogni adempimento al fine di dotarsi di una piattaforma digitale o di un cloud o comunque di strumenti tecnologici idonei a garantire la più assoluta riservatezza dei dati e delle informazioni che vengono trattate dal lavoratore nello svolgimento della prestazione in modalità agile». Sulla scia di quanto disposto da detto decreto, lo scorso 30 novembre sono state adottate dal Ministro per la Pubblica Amministrazione le “Linee guida in materia di lavoro agile nelle amministrazioni pubbliche”, nelle quali, con la parte relativa a “Condizioni tecnologiche, privacy e sicurezza”, sono elencate una serie di indicazioni riguardanti gli strumenti di lavoro e l’accesso alle risorse digitali ed alle applicazioni dell’amministrazione di appartenenza.

Gli aspetti positivi: in arrivo un codice di condotta per lo smart working

Tornando al Protocollo, la prima lettura che è possibile darsi, in virtù di quanto detto in apertura, ha certamente segno positivo. Si è infatti riconosciuta l’opportunità di prendere in espressa considerazione i profili legati alla protezione e alla sicurezza dei dati trattati in ambito lavorativo anche nel caso di prestazione resa in modalità agile. Una formalizzazione certamente incoraggiante per il futuro. Soprattutto se si considera quella che è la previsione potenzialmente di maggiore impatto, vale a dire la prospettata definizione di un codice di condotta. Si tratta di un passaggio di non scontata maturità. E di certo l’avvio di un dialogo con il Garante per la protezione dei dati personali potrà portare indiscussi benefici, come peraltro già avvenuto in altri settori strategici (come quelli delle informazioni commerciali e delle informazioni creditizie). L’adozione di un codice di condotta in un simile ambito avrebbe ricadute se possibile ancora maggiori dei suoi predecessori, ponendosi così quale ulteriore tassello nel cammino di piena valorizzazione di questo fondamentale strumento di autoregolamentazione.

Gli aspetti da migliorare

Non bisogna però sedersi sugli allori. Per rendersene conto, basti pensare che nel “2020 Cost of Insider Threats Global Report”, il Ponemon Institute ha rivelato che lo scorso anno il numero di incidenti di sicurezza legati a minacce interne è aumentato del 47% rispetto al 2018, crescendo nello stesso tempo del 31% i relativi costi. Tra le cause degli attacchi, il 62% è determinato da imprudenza, il 23% da criminal insider e il 14 % da furto di credenziali, con un costo annuale per impresa rispettivamente pari a 4,58, 4,08 e 2,79 milioni di dollari.

Più in generale, si consideri poi il “Rapporto Clusit 2021“, il quale indica che nel 2020 si è registrato un + 12% di attacchi cyber a livello globale, con una crescita degli attacchi gravi del 66% rispetto al 2017. Guardando all’Italia, secondo il Comparto Intelligence, nel 2020 le aggressioni cibernetiche in danno degli assetti informatici rilevanti per la sicurezza nazionale sono salite del 20%. Inoltre, Trend Micro Research ha rivelato che a ottobre l’Italia era il terzo aese al mondo per numero di ransomware e il quarto per numero di malware. Un trend confermato anche dalla ricerca curata da Kaspersky, secondo cui nel 2021 gli attacchi ransomware in Italia sono aumentati dell’81%, costituendo quasi la metà degli incidenti di sicurezza rilevati.

Sono questi dati che indicano a chiare lettere come la sicurezza informatica di aziende e pubbliche amministrazioni è (e sarà sempre più) sotto attacco cibernetico, rappresentandosi così l’urgenza di intervenire per la messa in sicurezza di ogni possibile canale di ingresso di potenziali minacce. E anche in tale ottica occorre dunque considerare la regolamentazione e l’organizzazione del lavoro agile.

Conclusioni

Dato tale contesto, le misure previste nel Protocollo non possono certi dirsi da sole sufficienti ad arginare la tendenza appena evidenziata. Peraltro, la semplice ricognizione di obblighi già previsti dalla normativa data protection (emblematico in tal senso il riferimento al registro dei trattamenti o alla DPIA, la cui indicazione come “sempre raccomandata” lascia più di qualche interrogativo) appare come un’arma spuntata rispetto alla dimensione del fenomeno. Bisogna dunque considerare le indicazioni del Protocollo come un primo passo, a cui però dovranno seguirne ancora molti altri. L’invito per la contrattazione che seguirà è dunque quello di non limitarsi alla mera riproposizione di quanto previsto in linea generale dal Protocollo, impegnandosi invero ad innalzare ulteriormente il livello di attenzione e di tutela dei diritti degli interessati e (quindi) dei patrimoni informativi aziendali. Il tutto con l’auspicio che possano presto partire i lavori per l’adozione di un codice di condotta ad hoc.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4