Il lavoro agile o smart working ha avuto solo di recente l'istituzionalizzazione normativa nella legge 81 2017 (nota anche come Jobs act degli autonomi).
Il nuovo regolamento europeo sulla privacy 679/2016 da poco entrato in vigore, richiede una particolare attenzione da parte del datore di lavoro in materia di protezione dei dati cui il lavoratore ha accesso dal luogo di lavoro fuori dall'azienda. Come noto infatti lo smart working prevede la possibilità di svolgere le prestazioni lavorative non solo a casa ma in qualsiasi luogo scelto dal dipendente quindi anche in luoghi pubblici, con una crescita rilevante del rischi di diffusione indebita dei dati aziendali. Il DPO, nelle grandi aziende obbligate alla sua nomina, o il datore di lavoro responsabile del trattamento dei dati o il suo incaricato dovranno dunque mettere a punto un sistema di condivisione dei dati che tenga in debito conto tali rischi .
In base al Regolamento (articolo 32), la scelta dei sistemi di sicurezza va comunque commisurata all’entità dei rischi. Per evitare sanzioni , il titolare dovrà dimostrare di aver previsto accorgimenti adeguati per valutare e scongiurarli. Gli esperti del Sole 24 ore hanno messo a punto una interessante check list delle principali criticità in questa materia:
-
I dispositivi informatici (PC, tablet e smartphone) utilizzati dovranno essere configurati con particolare attenzione, sia nel caso siano di proprietà dell'azienda che del lavoratore, con adeguati software antivirus, certificati e con backup periodico connesso al server centrale aziendale. Ciò vale sicuramente per i Pc portatili, ma anche per tablet e smartphone. Il sistema deve essere configurato in modo pero da non controllare l’attività del lavoratore, vietata dallo Statuto dei Lavoratori, se non nell'interesse concreto della protezione dei dati dei clienti. Per questo il lavoratore deve essere attentamento informato sulla policy aziendale in questa materia
-
Sempre in considerazione del principio di minimizzazione dei dati è opportuno che l’azienda si doti di un sistema per impedire allo smart worker di visualizzare ed entrare in contatto con le informazioni non pertinenti con lo svolgimento delle proprie mansioni.
-
Il sistema di autenticazione dovrebbe comprendere due passaggi e non semplicemente una password. L’autenticazione a due fattori si puo realizzare con un sistema di codici via sms sul telefono mobile o l’uso di chiavette (token Usb) o smart card, coem spesso succede per i servizi di home banking, che consente una verifica dell'identita di chi accede ai dati aziendali.
-
Se computer o smartphone vengano smarriti o siano oggetto di accesso da parte di terzi, il lavoratore deve ovviamente darne immediata comunicazione al datore di lavoro che, come titolare del trattamento dei dati personali, è chiamato a notificare l’avvenuta violazione al Garante entro 72 ore dalla conoscenza del fatto e deve comunicarla senza ingiustificato ritardo agli interessati (articoli 33 e 34 del Regolamento).
-
Nel caso si verifichino effettivamente violazioni dei dati personali di un soggetto da parte del lavoratore "agile "o di terzi, il datore di lavoro risponde dei danni anche civilisticamente . Le sanzioni per inadeguatezza delle misure di sicurezza possono arrivare a 10 milioni di euro.