Il c.d. lavoro a distanza, incoraggiato e a tratti imposto dalla recente normativa emessa in corrispondenza della pandemia da Covid-19, presenta particolari criticità, sia lato lavoratore che lato azienda, in tema di tutela dei dati personali.
Lato aziendale, gli obblighi previsti dalla normativa GDPR e dal d.lgs. 101/2018, confluiti nella modifica del Codice della Privacy, impongono sotto il profilo dell’accountability la responsabilizzazione del titolare del trattamento il quale dovrà fornire per iscritto ai lavoratori interessati linee guida e istruzioni operative chiare e concrete al fine di porre in essere tutte le necessarie misure di sicurezza organizzative e tecniche, integrando se del caso il proprio Regolamento IT nonchè il Registro dei Trattamenti.
Le disposizioni rilasciate dall’azienda dovranno in particolare riguardare: l’obbligo di adeguata custodia dei dispositivi, inclusi i device mobili; l’obbligo di conservazione sicura delle password e credenziali di accesso; linee guida sull’utilizzo di internet e della posta elettronica; istruzioni sull’obbligo di immediata comunicazione in caso di data breach e operative per la gestione dell’evento di perdita e/o trafugazione di dati da parte di terzi.
Particolare attenzione dovrà essere posta dal titolare del trattamento qualora consenta o chieda ai dipendenti un approccio BYOD – acronimo di “Bring Your Own Device” – ovvero di utilizzare dispositivi di loro proprietà per scopi lavorativi. In questo caso, sarà necessario per l’azienda implementare una BYOD policy, che stabilisca in modo chiaro: quali dispositivi possano essere utilizzati; quali requisiti anche di protezione antivirus debbano essere mantenuti, specialmente se danno accesso alla rete aziendale; quali requisiti debba avere la rete a cui il dispositivo si connette per l’esecuzione della prestazione lavorativa; la possibilità per l’azienda di effettuare interventi da remoto; l’obbligo di immediata rimozione dei contenuti aziendali all’interruzione del rapporto lavorativo.
Lato lavoratore, sarà necessario fornire a tutti i dipendenti che operano in smart working un’apposita informativa in cui si esplicita come vengono trattati i dati personali forniti per il tramite dei device utilizzati, nonchè esplicitando la presenza di software che consentano il c.d. controllo a distanza del lavoratore.
E’ bene ricordare che il controllo a distanza del dipendente, anche operante in smart working, è soggetto a tutele particolarmente stringenti sia sotto il profilo giuslavoristico che di tutela della privacy, dovendo rispettare i principi di necessità, proporzionalità e adeguatezza, e non potrà in alcun modo concretarsi in un controllo continuo ed indiscriminato del lavoratore.