Fino a poco tempo fa, di smart working in Italia si parlava poco, e spesso in modo confuso. La pandemia, su questo fronte, ha agito da vero e proprio catalizzatore. Lo confermano i dati. Secondo le rivelazioni Eurostat, in Unione europea i lavoratori tra i 15 e 64 anni ad operare abitualmente da casa nel 2020 sono stati il 12,3% (nell’ultimo decennio erano costantemente il 5%), con l’Italia al tredicesimo posto in classifica (12,2%). Stando poi a quanto indicato dall’Osservatorio Smart Working del Politecnico di Milano, nel nostro Paese – dove il lavoro agile veniva istituito già nel 2017 con la legge n. 81 – si è passati da circa 570.000 lavoratori agili del 2019 ad oltre 6,5 milioni durante il primo lockdown (marzo 2020), con le più recenti stime che parlano di 4,38 milioni di smart workers nell’era post Covid-19.
Nondimeno, se la velocità di reazione all’imprevedibile contingenza pandemica ha portato il lavoro agile a diffondersi su larga scala, quella stessa accelerazione non ha consentito di maturare una piena consapevolezza su rischi ed opportunità di tale modalità di lavoro, soprattutto sul fronte delle tecnologie utilizzate da casa e della relativa circolazione, protezione e sicurezza dei dati, in particolar modo personali, trattati durante l’espletamento dell’attività lavorativa in modalità agile. Un aspetto cruciale che, tuttavia, è stato principalmente rincorso, nella prassi di tutti i giorni, e quasi mai anticipato, specialmente in tempo di pandemia.
Protocollo sul lavoro agile nel privato: come adeguarsi e le ricadute privacy
Gli aspetti privacy del nuovo protocollo sullo smart working nel settore privato
In questo scenario si è inserito il “Protocollo nazionale sul lavoro in modalità agile” (“Protocollo”), sottoscritto lo scorso 7 dicembre dalle parti sociali sotto l’egida del Ministro del Lavoro e delle Politiche Sociali e volto a disciplinare lo smart working in ambito privato. Nel definire le linee di indirizzo per la contrattazione collettiva, nazionale e aziendale e/o territoriale, il Protocollo dedica anche un articolo, il dodicesimo, ai profili legati alla protezione dei dati personali.
Al di là del primo comma, rivolto specificamente al lavoratore (onerato di trattare i dati personali cui accede nell’espletamento della propria attività conformemente alle istruzioni impartite dal datore, con annesso obbligo di riservatezza rispetto alle informazioni aziendali in proprio possesso e/o disponibili sul sistema informativo del titolare), l’articolo prende in considerazione una serie di adempimenti del datore. In particolare, quest’ultimo dovrà:
- adottare tutte le misure tecnico-organizzative adeguate a garantire la protezione dei dati personali dei lavoratori agili e dei dati trattati da costoro;
- informare il lavoratore agile in merito ai trattamenti che lo riguardano, anche nel rispetto di quanto disposto dall’articolo 4 della Legge 300/1970 (lo Statuto dei lavoratori);
- fornire al lavoratore agile le istruzioni e l’indicazione delle misure di sicurezza da osservare per garantire la protezione, segretezza e riservatezza delle informazioni trattate per fini professionali;
- aggiornare il registro dei trattamenti con quelli connessi alle attività svolte in modalità agile;
- eseguire, come sempre raccomandata, una valutazione d’impatto sulla protezione dei dati (DPIA) al fine di verificare che gli strumenti utilizzati per il lavoro agile siano conformi ai principi di privacy by design e by default;
- promuovere l’adozione di policy aziendali basate sul concetto di security by design, che prevedano la gestione dei data breach e l’implementazione di misure di sicurezza adeguate (come crittografia, sistemi di autenticazione e VPN, piani di backup e protezione malware);
- favorire iniziative di formazione e sensibilizzazione dei lavoratori, sia avuto riguardo all’utilizzo, custodia e protezione degli strumenti impiegati per rendere la prestazione, sia rispetto alle cautele comportamentali da adottarsi nello svolgimento della prestazione lavorativa in smart working, compresa la gestione dei data breach.
L’articolo, che fa comunque salva l’applicabilità della normativa data protection, si chiude con la convergenza delle parti sociali circa la necessità di adottare un codice di condotta per il trattamento dei dati personali dei lavoratori in modalità agile.
Abbiamo già parlato di codici di condotta, ai sensi dell’art. 40 del GDPR, proprio su questa testata in un precedente articolo di questa serie programmatica di approfondimenti per la ripartenza, pubblicato il 14 ottobre scorso.
Le linee guida per il lavoro agile nelle pubbliche amministrazioni
Per completezza, vale la pena anche aprire una breve parentesi sul gemello settore pubblico. A tal riguardo, con il Decreto dell’8 ottobre della Presidenza del Consiglio dei ministri – Dipartimento della Funzione Pubblica (recante le modalità organizzative per il rientro in presenza dei lavoratori delle PA) si è previsto, inter alia, che «[n]elle more della definizione degli istituti del rapporto di lavoro connessi al lavoro agile da parte della contrattazione collettiva e della definizione delle modalità e degli obiettivi del lavoro agile da definirsi ai sensi dell’art. 6, comma 2, lettera c), del decreto-legge 9 giugno 2021, n. 80, convertito, con modificazioni dalla legge 6 agosto 2021, n. 113 nell’ambito del Piano integrato di attività e organizzazione (PIAO) […] l’accesso a tale modalità […] potrà essere autorizzato esclusivamente nel rispetto delle seguenti condizionalità: […] c) l’amministrazione mette in atto ogni adempimento al fine di dotarsi di una piattaforma digitale o di un cloud o comunque di strumenti tecnologici idonei a garantire la più assoluta riservatezza dei dati e delle informazioni che vengono trattate dal lavoratore nello svolgimento della prestazione in modalità agile». Sulla scia di quanto disposto da detto decreto, lo scorso 30 novembre sono state adottate dal Ministro per la Pubblica Amministrazione le “Linee guida in materia di lavoro agile nelle amministrazioni pubbliche”, nelle quali, con la parte relativa a “Condizioni tecnologiche, privacy e sicurezza”, sono elencate una serie di indicazioni riguardanti gli strumenti di lavoro e l’accesso alle risorse digitali ed alle applicazioni dell’amministrazione di appartenenza.
Gli aspetti positivi: in arrivo un codice di condotta per lo smart working
Tornando al Protocollo, la prima lettura che è possibile darsi, in virtù di quanto detto in apertura, ha certamente segno positivo. Si è infatti riconosciuta l’opportunità di prendere in espressa considerazione i profili legati alla protezione e alla sicurezza dei dati trattati in ambito lavorativo anche nel caso di prestazione resa in modalità agile. Una formalizzazione certamente incoraggiante per il futuro. Soprattutto se si considera quella che è la previsione potenzialmente di maggiore impatto, vale a dire la prospettata definizione di un codice di condotta. Si tratta di un passaggio di non scontata maturità. E di certo l’avvio di un dialogo con il Garante per la protezione dei dati personali potrà portare indiscussi benefici, come peraltro già avvenuto in altri settori strategici (come quelli delle informazioni commerciali e delle informazioni creditizie). L’adozione di un codice di condotta in un simile ambito avrebbe ricadute se possibile ancora maggiori dei suoi predecessori, ponendosi così quale ulteriore tassello nel cammino di piena valorizzazione di questo fondamentale strumento di autoregolamentazione.
Gli aspetti da migliorare
Non bisogna però sedersi sugli allori. Per rendersene conto, basti pensare che nel “2020 Cost of Insider Threats Global Report”, il Ponemon Institute ha rivelato che lo scorso anno il numero di incidenti di sicurezza legati a minacce interne è aumentato del 47% rispetto al 2018, crescendo nello stesso tempo del 31% i relativi costi. Tra le cause degli attacchi, il 62% è determinato da imprudenza, il 23% da criminal insider e il 14 % da furto di credenziali, con un costo annuale per impresa rispettivamente pari a 4,58, 4,08 e 2,79 milioni di dollari.
Più in generale, si consideri poi il “Rapporto Clusit 2021“, il quale indica che nel 2020 si è registrato un + 12% di attacchi cyber a livello globale, con una crescita degli attacchi gravi del 66% rispetto al 2017. Guardando all’Italia, secondo il Comparto Intelligence, nel 2020 le aggressioni cibernetiche in danno degli assetti informatici rilevanti per la sicurezza nazionale sono salite del 20%. Inoltre, Trend Micro Research ha rivelato che a ottobre l’Italia era il terzo aese al mondo per numero di ransomware e il quarto per numero di malware. Un trend confermato anche dalla ricerca curata da Kaspersky, secondo cui nel 2021 gli attacchi ransomware in Italia sono aumentati dell’81%, costituendo quasi la metà degli incidenti di sicurezza rilevati.
Sono questi dati che indicano a chiare lettere come la sicurezza informatica di aziende e pubbliche amministrazioni è (e sarà sempre più) sotto attacco cibernetico, rappresentandosi così l’urgenza di intervenire per la messa in sicurezza di ogni possibile canale di ingresso di potenziali minacce. E anche in tale ottica occorre dunque considerare la regolamentazione e l’organizzazione del lavoro agile.
Conclusioni
Dato tale contesto, le misure previste nel Protocollo non possono certi dirsi da sole sufficienti ad arginare la tendenza appena evidenziata. Peraltro, la semplice ricognizione di obblighi già previsti dalla normativa data protection (emblematico in tal senso il riferimento al registro dei trattamenti o alla DPIA, la cui indicazione come “sempre raccomandata” lascia più di qualche interrogativo) appare come un’arma spuntata rispetto alla dimensione del fenomeno. Bisogna dunque considerare le indicazioni del Protocollo come un primo passo, a cui però dovranno seguirne ancora molti altri. L’invito per la contrattazione che seguirà è dunque quello di non limitarsi alla mera riproposizione di quanto previsto in linea generale dal Protocollo, impegnandosi invero ad innalzare ulteriormente il livello di attenzione e di tutela dei diritti degli interessati e (quindi) dei patrimoni informativi aziendali. Il tutto con l’auspicio che possano presto partire i lavori per l’adozione di un codice di condotta ad hoc.
