coronavirus

Smart working a prova Gdpr, come arginare i rischi privacy

Lo smart working richiede un sapiente uso del digitale, una governance integrata e un’evoluzione dei modelli organizzativi aziendali, dei quali la privacy è parte integrante. Perché il tutto si svolga in sicurezza, occorre attuare le giuste misure di sicurezza caso per caso, nel pieno rispetto della normativa vigente

13 Mar 2020
Luana Lanfranchi

Privacy Officer & Consulente della Privacy


Rischia di inciampare nella privacy l’Italia che ora corre verso lo smart working, per l’emergenza coronavirus.

Sappiamo che alcuni giorni or sono è stato pubblicato in Gazzetta Ufficiale il Decreto 23 febbraio 2020 per consentire ai dipendenti delle aziende, nelle regioni più colpite dal nuovo Covid-19, di poter lavorare da remoto presso la propria abitazione grazie alla tecnologia. Con il Decreto del primo marzo 2020 (sostituito con il recentissimo DPCM 4 marzo 2020) questa modalità di lavoro è stata estesa a tutto il territorio nazionale.

Smart working e sicurezza dei dati personali

Sul lato dell’economia d’impresa e come risposta diretta alla situazione di emergenza che sta affrontando il nostro paese al momento, nulla da eccepire, se non fosse che il decreto non specifica né prescrive particolari adempimenti in termini di sicurezza dei dati personali circa l’improvviso utilizzo dei BYOD (pc, tablet, smartphone personali) e/o dei device aziendali.

Questa tipologia di “lavoro agile”, denominata smart working e introdotta già dalla Legge n.81 del 2017, sembrerebbe mettere a dura prova la protezione dei dati personali, poiché non vi sono state ulteriori misure chiarificatrici, neanche da parte del nostro Garante, emanate per mitigare i rischi a cui essi sono così sottoposti e maggiormente esposti: si pensi ad esempio ai frettolosi collegamenti da remoto effettuati su VPN (Virtual Private Network) verso i server aziendali; si pensi a misure fittizie di “sicurezza fai da te”; si pensi all’utilizzo dei propri device per svolgere l’attività lavorativa in totale assenza di misure tecniche di sicurezza; si pensi alla mancanza di policy di sicurezza presenti solo all’interno delle mura aziendali ed alla grandissima mole di dati personali messi a disposizione di dipendenti e collaboratori all’esterno dell’impresa.

Secondo l’Osservatorio Smart Working del Politecnico di Milano questa modalità lavorativa è: “una nuova filosofia manageriale fondata sulla restituzione alle imprese di flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati”.

Secondo l’Osservatorio, il 58% delle grandi imprese avrebbe già introdotto tali iniziative; mentre tra le PMI italiane risulterebbe una diffusione di progetti strutturati del 12% e di quelli informali del 18%; anche la percentuale di imprese disinteressate al tema sembrerebbe cresciuta passando dal 38% al 51%. Nella PA, invece, la percentuale di progetti strutturati di lavoro agile sarebbe del 16%.

La privacy, parte integrante della riorganizzazione aziendale

Lo smart working, però, non è una semplice iniziativa per i lavoratori; esso, infatti, richiede un sapiente uso dell’innovazione digitale, una governance integrata ed una grande evoluzione dei modelli organizzativi aziendali, dai quali, ovviamente, la privacy non può essere esclusa, anzi, ne ricopre parte integrante, dati i molteplici impatti, poiché la nuova tecnologia gioca un ruolo fondamentale.

Le tecnologie digitali possono, infatti, ampliare e rendere virtuale uno spazio di lavoro, abilitare nuovi supporti e scenari per svolgere la propria mansione, facilitare la creazione di nuovi network professionali e sviluppare nuove modalità di lavoro, poiché lo smart working non è praticabile solo in ambiente domestico, ma ovunque lo si voglia al di fuori dell’ufficio. Dopo il più grande esperimento di smart working targato Cina, adesso anche l’Italia, per arginare l’epidemia del Coronavirus, è ricorsa al lavoro agile grazie al Decreto attuativo approvato d’urgenza dal Governo, anche senza un accordo preventivo con i dipendenti, come richiesto, invece, dalla Legge del 2017.

A lungo si sta dibattendo circa la legittimità o meno del datore di lavoro sulla conduzione dell’eventuale indagine epidemiologica (sintomi o no del Coronavirus – Covid-19) prima dell’accesso all’interno dell’azienda come prevenzione e protezione per la salute comune, ma in realtà, dove risiede il reale potenziale di rischio per la tutela dei dati personali degli interessati?

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Si vocifera, date anche le ricerche effettuate da equipe di esperti in campo medico, che questo “attacco virale”, come accade alle macchine con i malware, presto o tardi terminerà, ma i dati personali, nel frattempo, condotti all’esterno dei comparti aziendali (ove prima erano protetti) potranno, sia nel breve che nel lungo periodo, essere liberamente sottoposti a furti, modifiche, perdite, accessi non autorizzati, e così via.

In questa situazione di emergenza epidemiologica, sono stati posti numerosi quesiti al Garante privacy, da parte di soggetti pubblici e privati, in merito alla possibilità di trattamento dei dati relativi allo stato di salute (art.9 del Regolamento UE 2016/679) degli utenti e dei dipendenti, nel rispetto del GDPR…ma la tutela degli innumerevoli interessati dei quali si tratta qualsiasi tipologia di dato personale, comodamente da casa, “grazie” allo smart working improvvisato?

Rispettare il Gdpr, unica via

È vero che dipendenti e collaboratori, in qualità di autorizzati al trattamento, hanno (o dovrebbero già avere) precise istruzioni, impartite dal Titolare, per la salvaguardia dei dati personali che trattano nello svolgimento della propria mansione lavorativa, ma all’interno dell’azienda nella quale operano ovvero non sempre le direttive e le procedure di sicurezza sono rivolte allo smart working, soprattutto ove non è stato mai previsto. Quali sarebbero, quindi, le misure di sicurezza adeguate che il titolare del trattamento dovrebbe attuare per garantire la tutela dei dati personali degli interessati? Anche in questo periodo storico di emergenza sanitaria, la risposta è semplice: rispettare il GDPR ovvero attuare tutte quelle procedure, che avrebbe dovuto mettere in campo, se avesse previsto dal principio dell’attività lavorativa lo smart working e, ove impossibile, impedire momentaneamente quei trattamenti ad elevato rischio per i diritti e le libertà fondamentali degli interessati. In base all’approccio basato sul rischio ed alle misure di accountability introdotti dal GDPR, se si procedesse ad un’attenta valutazione (DPIA) sui trattamenti in ambiente smart working “implementato per emergenza”, da intendersi come possibili impatti negativi sui diritti e le libertà degli interessati, sarebbe alquanto improbabile far risultare una matrice di rischio bassa o medio bassa, soprattutto ove non siano state previste a monte misure adeguate alla sua mitigazione, per l’assenza delle quali sono previste sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale.

Essendo la tecnologia, inoltre, la regina dello smart working, non si può non far riferimento alla cyber security ove miliardi di informazioni, di trasmissioni, di archiviazioni, di registrazioni, di consultazioni, ecc… viaggiano nell’etere. I dati personali, quindi, compresi quelli appartenenti a particolari categorie, potrebbero subire furti, perdite accidentali, accessi abusivi, diffusioni dolose o colpose ed, anche in questo caso, la formazione dello smart worker (ad es. attuabile tramite videoconferenza data la criticità) tra le misure adeguate di sicurezza, predominerebbe la scena, poiché come prescritto dall’art.32 del Regolamento (oltre che dall’art.29):”il titolare del trattamento ed il responsabile del trattamento fanno si che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione Europea o degli Stati Membri”.

Nonostante tutte le problematiche ed i conseguenti rischi connessi per la protezione dei dati personali dei soggetti interessati, non bisogna arrestare il processo di sviluppo dei diversi nuovi modus operandi dell’attività lavorativa nell’era digitale; occorrerebbe solo attuare le giuste misure di sicurezza caso per caso, nel pieno rispetto della normativa vigente ovvero nell’ottica di accountability e della privacy by design e by default.

Teleconsys - White Paper - Digital Workplace

@RIPRODUZIONE RISERVATA

Articolo 1 di 3