L’evoluzione del mondo del lavoro negli ultimi anni ha portato ad una diffusa adozione del lavoro a distanza, grazie ai progressi tecnologici che consentono una comunicazione e una collaborazione più efficace. Mentre questa modalità di lavoro offre numerosi vantaggi, solleva anche preoccupazioni sul tema dei controlli a distanza dei lavoratori.

Nell’affrontare la questione è fondamentale evidenziare come tale materia intersechi la disciplina giuslavoristica, la tutela della privacy e la necessità di garantire un ambiente lavorativo sicuro.

Relativamente alla disciplina giuslavoristica, questa è rappresentata dal c.d. Statuto dei lavoratori, vale a dire l’art 4 della L. 20 maggio 1970, n. 300, così come modificato dal D.Lgs.14 settembre 2015, n. 151, il c.d. Jobs Act.

In sostanza, il Jobs Act ha introdotto un regime diverso a seconda del tipo di strumento utilizzato prevedendo che:

• con la riforma, venisse eliminato il divieto generale  (precedentemente previsto) di utilizzo di impianti e strumenti audiovisivi dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, i quali possono però essere impiegati per determinate finalità (vale a dire esigenze organizzative e produttive, sicurezza sul lavoro e tutela del patrimonio aziendale)  e possono essere installati solo previo accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, previa autorizzazione dell’Ispettorato del Lavoro (INL).
• per gli strumenti di lavoro e per gli strumenti di registrazione di accessi e presenze non operi alcun divieto e alcun obbligo di accordo sindacale o di autorizzazione dell’INL;
• sia per i primi che per i secondi il datore ha l’obbligo di fornire ai dipendenti adeguata informazione circa le modalità d’uso degli strumenti e di effettuazione dei controlli nonché l’obbligo di rispettare la normativa sulla privacy nella raccolta e nel trattamento dei dati.

La materia di tutela della privacy comprende invece l’insieme delle norme contenute nel Regolamento UE 2016/679 (GDPR) e nel D.Lgs. 30 giugno 2003, n. 196, il c.d. Codice della Privacy, come novellato dal D.Lgs. 10 agosto 2018, n. 101.

Si ha dunque una duplice tutela, poiché lo Statuto dei Lavoratori regola i limiti al potere di controllo del datore di lavoro a tutela dei diritti del soggetto nella sua condizione di lavoratore, mentre la disciplina in materia di privacy mira a proteggere il diritto alla riservatezza del dipendente in quanto persona fisica.

Alle suddette norme devono poi aggiungersi molteplici pronunce giurisprudenziali, sia da parte delle giurisdizioni nazionali che di quelle sovranazionali, ma anche i provvedimenti del Garante per la protezione dei dati personali per quanto riguarda l’applicazione del GDPR e del Codice della Privacy e le circolari dell’Ispettorato Nazionale del Lavoro per l’interpretazione delle norme giuslavoristiche.

Ma quali sono gli obblighi imprescindibili del datore di lavoro?

Il comma 3 dell’art. 4 dello Statuto dei Lavoratori prevede che, sia che si tratti di impianti audiovisivi o altri strumenti di potenziale controllo a distanza, sia che si tratti di strumenti di lavoro, i dati da questi raccolti sono utilizzabili a tutti i fini connessi al rapporto di lavoro (quindi, anche a quelli disciplinari) a due condizioni:

1. adeguata informazione dei lavoratori attraverso una policy aziendale che spieghi le modalità d’uso degli strumenti e di effettuazione dei controlli;
2. rispetto della normativa sulla Privacy. A differenza della vecchia versione, è lo stesso art. 4 a richiamare il rispetto del Codice della Privacy (D.Lgs. n. 196 del 2003) per l’utilizzabilità dei dati raccolti.

Quanto al primo punto, l’obbligo di informativa impone di fare molta attenzione al contenuto della policy. Questa, infatti, deve contenere l’indicazione degli strumenti che consentono il controllo a distanza nelle loro caratteristiche e funzionamento, le modalità e le regole di utilizzo di tali strumenti, il tipo di controlli che potranno essere effettuati dall’azienda, i dati conservati e i soggetti abilitati ad accedervi, nonché le modalità e i tempi di conservazione dei dati stessi e le eventuali sanzioni che potranno essere prescritte al dipendente/trasgressore. Infatti, una policy incompleta o troppo generica rischia di invalidare le prove di un eventuale giudizio nel corso del quale sia, ad esempio, necessario provare un comportamento illecito del dipendente e idoneo a giustificare un licenziamento disciplinare.

Relativamente al rispetto della normativa sulla privacy il datore di lavoro può effettuare il trattamento dei dati personali dei propri dipendenti, diversi da quelli particolari, purché siano rispettate le condizioni di liceità dall’art. 5 del GDPR. Le condizioni di liceità che attengono alle modalità di svolgimento del trattamento sono quelle di necessità e trasparenza.

Occorre dunque evitare:

• modalità di controllo massivo, prolungato e indiscriminato dell’attività del dipendente;
• controlli indiscriminati sulle email aziendali e sull’uso di internet: i controlli possono essere svolti solo se sono giustificati da una finalità lecita, come la tutela di un diritto esercitabile in via giudiziaria (ad esempio la repressione di una condotta illecita del dipendente).

Per quanto riguarda invece i dati che possono formare oggetto di trattamento, le condizioni che devono essere rispettate sono quelle di pertinenza, adeguatezza e non eccedenza.

Pertanto, i dati trattati:

• devono essere quelli strettamente funzionali al perseguimento delle finalità dichiarate dal titolare del trattamento nell’informativa resa ai lavoratori;
• il datore di lavoro deve preferire, ove possibile, l’utilizzo di dati anonimi, impiegando dati personali e identificativi solo nei casi in cui vi sia necessità di identificare il lavoratore;
• non devono essere archiviati per un periodo superiore a quanto indispensabile per il conseguimento delle finalità dichiarate nell’informativa e per l’eventuale adempimento di obblighi di legge;
• per il periodo di conservazione questo deve essere limitato al minimo necessario;
• devono essere formalmente idonei al raggiungimento dello scopo perseguito;
• devono essere cancellati periodicamente i dati relativi agli accessi a Internet e al traffico telematico. Infatti, in base alle prescrizioni del Garante della privacy, non sono leciti la registrazione massiva di tutte le email in uscita, il monitoraggio costante dei siti internet visitati o la copia di tutti i file salvati dal dipendente tramite la porta Usb: queste attività possono essere svolte solo in presenza di motivi specifici e gli accertamenti non devono essere sistematici, indiscriminati e preventivi

Oltre agli obblighi del datore di lavoro, ci sono diverse misure che l’organizzazione può adottare per proteggere e migliorare la sicurezza della propria forza lavoro:

• Fornitura di una VPN

Una rete privata virtuale o VPN è uno strumento prezioso che fornisce una connessione sicura tra un utente e una rete/internet e protegge qualsiasi traffico di dati, anche se la rete domestica non è sicura. Un dipendente infatti con una VPN correttamente configurata può inviare e ricevere e-mail e altri dati in tutta sicurezza.

• Formazione sulla sicurezza per i lavoratori

Un ambiente di lavoro domestico presenta sfide uniche e la formazione sulla sicurezza deve rispecchiare questo aspetto. Pertanto, bisogna assicurarsi che il programma di formazione sulla sicurezza si concentri anche sulle esigenze di sicurezza. Le aree tipiche su cui la formazione di sensibilizzazione alla sicurezza deve formare i lavoratori includono:

– Fare attenzione a non lasciare informazioni sensibili aperte sullo schermo.

– Non rimanete connessi alle applicazioni quando siete lontani da un’area di lavoro.

– Igiene delle password e politiche di pulizia della scrivania.

– Tenere separati i dispositivi di lavoro da quelli personali, ove possibile.

– L’importanza di utilizzare una VPN.

– Il loro ruolo nella protezione dei dati.

– Mantenere aggiornati i dispositivi e il software.

– Seguire le politiche di sicurezza, anche da casa.

• Applicare solide politiche di controllo degli accessi

L’accesso alle applicazioni aziendali e alla rete da parte di chi lavora da casa e da remoto deve essere gestito in base a principi quali l’accesso con il minimo privilegio. Tuttavia, anche un solido controllo degli accessi deve diventare parte integrante dell’home office.

Ad esempio, l’accesso al dispositivo deve essere protetto da un PIN biometrico o forte. Allo stesso modo, l’accesso a un computer di lavoro a casa deve avere solidi controlli di accesso con controlli biometrici o con password forti. L’accesso alle app deve essere garantito con l’autenticazione a due fattori (2FA).

• Wi-Fi sicuro

Anche con una VPN, il Wi-Fi dovrebbe essere reso sicuro come best practice. Per proteggere una rete Wi-Fi, create un pacchetto formativo sul Wi-Fi sicuro per garantire che i dipendenti abbiano i dettagli necessari per farlo:

– Modificare la password Wi-Fi predefinita e aggiornarla regolarmente.

– Anonimizzare il nome della rete Wi-Fi e non assegnare alla rete un nome che contenga informazioni personali o identificative.

– Attivare la crittografia di rete sui router Wi-Fi, ad esempio WPA e WPA2.

– Mantenere i router aggiornati e patchati.

In conclusione, i controlli a distanza dei lavoratori possono essere un mezzo per le aziende per monitorare e garantire la produttività e la sicurezza dei dipendenti. Tuttavia, come spiegato, è essenziale bilanciare tali controlli con la privacy e il rispetto dei diritti dei dipendenti. La creazione di politiche chiare e l’ottenimento del consenso informato dei dipendenti sono fondamentali per minimizzare gli impatti negativi sulla sicurezza e mantenere un ambiente lavorativo sano e collaborativo.

Articolo a cura del Team Governance, Risk and Compliance
Consulthink S.p.A.
info@consulthink.it

Recent posts

Guardiani Virtuali o Occhi Indiscreti? Il ruolo dell'Intelligenza Artificiale tra Innovazione Tecnologica e Privacy

Analisi del caso CrowdStrike Falcon