I MERCOLEDÌ DELLA PRIVACY: smart working e tutela dei dati

La normativa nazionale prevede lo smart working o lavoro agile all'art. 21 della L. 81/2017.
Strumento che, fino a prima del dramma che stiamo vivendo derivato dalla pandemia da coronavirus, era utilizzato con il contagocce e solamente da grandi realtà aziendali. Non certo dai professionisti e, in particolare, dagli amministratori di condominio, abituati a ricevere in sede, a gestire l'organico in maniera diretta e di persona, a lavorare sui pc fissi o anche sui portatili, ma comunque sempre un lavoro svolto presso il proprio ufficio.
Ora che la parola d'ordine è “restiamo a casa”, nel giro di un mese sono state stravolte le nostre abitudini e anche il nostro classico modo di lavorare. Volenti o nolenti, tutti stiamo testando il lavoro agile. lo smart working

Proviamo a vedere, in maniera semplice, quelli che possono essere i principali elementi che ci consentono di rendere il lavoro agile più efficiente possibile, soprattutto, meno rischioso per la nostra attività.

La documentazione
Innanzitutto, abbiamo fatto in modo che, al fine di consentire al lavoratore “a distanza” di poter adempiere agli obblighi lavorativi contrattuali, questi abbia a disposizione tutta la documentazione (come file o cartelle di lavoro) e anche le informazioni necessarie (dati del condomino o del fornitore eccetera). Insomma, i dati che l'amministratore inserisce nel gestionale utilizzato per le attività di studio.

Lavorare a “distanza” comporta che, di fatto, lo studio abbia ampliato i propri confini fino ad arrivare dentro l'appartamento del dipendente/collaboratore, con tutti i rischi annessi a questa problematica.

Il titolare di studio, infatti, sa bene che, il primo soggetto a dover ottemperare alla sicurezza di quelle informazioni che si trovano ora nell'abitazione del suo collaboratore è lui stesso, anche da un punto di vista privacy.

Quest'ultimo, deve tener presente che nella condivisione delle cartelle e files (mediante VPN o Cloud), non può direttamente controllare il corretto utilizzo degli stessi. I sistemi di protezione (es. antivirus, firewall) presenti all'interno di uno Studio, sono (o almeno dovrebbero essere), molto più sofisticati rispetto a quelli presenti sui dispositivi (tablet, laptop, smartphone) concessi ad un privato.

Le istruzioni
Ecco che allora sorge la primaria esigenza, quando parliamo di smart working, di far sì che dipendenti e collaboratori, in qualità di incaricati al trattamento, abbiano precise istruzioni impartite dal titolare.

Queste istruzioni, al fine di renderci conformi al principio dell'accountability previsto dal GDPR, devono essere fornite per iscritto, in quanto l'amministratore dovrà dimostrare di averle in effetti comunicate e verranno elencate all'interno delle “policy” che, in questo caso, sono dei disciplinari interni, che devono chiarire come vanno utilizzati gli strumenti elettronici messi a disposizione e le regole da rispettare in merito all'uso della posta elettronica e di internet.

Il manuale in questione va redatto in modo chiaro e senza formule generiche, e deve essere pubblicizzato ai singoli lavoratori, oltre che essere sottoposto ad aggiornamento periodico.
Seguire il GDPR in questa nuova tipologia di lavoro, consente di evitarci anche patemi d'animo in relazione ad eventuali rischi di data breach o, addirittura, di sanzioni che un incauto comportamento ci potrebbe comportare.

La conservazione
Occorrerà predisporre sistemi di logging per il corretto esercizio del servizio di posta elettronica, con conservazione limitata nel tempo dei dati; sistemi di filtraggio anti-virus in grado di rilevare anomalie di sicurezza nelle postazioni di lavoro o sui server; sistemi di blocco automatico della consultazione di contenuti in rete inconferenti rispetto alle competenze attribuite eccetera.

Va anche detto che l'amministratore conforme alla normativa sul trattamento dei dati personali, dovrà aggiornare il registro dei trattamenti, ex art 30 GDPR ed effettuare un esame dei rischi e, se dal caso, anche una valutazione dell'impatto dei trattamenti, ex art. 35 del GDPR).

Occorrerà implementare processi che siano rispettosi dei principi cardini di cyber security, considerando la mole di trattamenti quali le lavorazioni di informazioni, trasmissioni, archiviazioni, registrazioni,consultazioni, eccetera, che verranno effettuati da remoto in un pc che usa una rete domestica.

I dati personali, quindi, compresi quelli appartenenti a particolari categorie, potrebbero subire furti, perdite accidentali, accessi abusivi, diffusioni dolose o colpose.

Concludendo, possiamo sostenere che se si vuole svolgere l'attività in modalità di lavoro agile, anche in questo periodo di emergenza, si deve poter dimostrare di aver effettuato, tra le misure adeguate di sicurezza, quanto prescritto dall'art. 32 e dall'art. 29 GDPR ovvero: «il titolare del trattamento ed il responsabile del trattamento fanno si che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento».

Responsabilizzazione
Responsabilizzare il personale è, quindi, elemento obbligato per garantirsi e garantire gli interessati. Alcuni consigli da implementare nella formazione sono: sensibilizzare il collaboratore a implementare il lock screen del device nel caso di allontanamento; immettere la password alfanumerica del device e dell'account; non permettere ad altri utenti di utilizzare il proprio account; aggiornare il software antivirus aziendale, se possibile da fornire anche ai lavoratori; non utilizzare supporti esterni (es. usb); non salvare sul proprio device i file aziendali.

In caso di possibile perdita dei dati (smarrimento, furto del device) il lavoratore dovrà avvisare il titolare di studio, che notificherà la violazione all'autorità di controllo entro 72 ore ai sensi dell'art. 33 GDPR.

In conclusione, smart working sì ma con le dovute cautele.