Lo smart working pone rilevanti questioni sotto il profilo privacyin merito ai possibili rischi per i dati personali delle persone fisiche. In base a quanto disposto dal Reg. Eu 679/2016, l’azienda, quale titolare del trattamento, deve mettere in atto misure tecniche e organizzative, idonee a garantire un livello di sicurezza dei dati trattati adeguato al rischio e gravità per i diritti e le libertà delle persone fisiche.

Nello specifico, il Titolare di un’azienda deve rispettare il c.d. principio di accountability che ha come obiettivo quello di adottare politiche ed attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso GDPR.

Con riferimento allo smart working, il principio di accountability prevede che il Titolare debba decidere autonomamente quelle che sono le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce dei criteri specifici indicati nel GDPR.

In sostanza, il Titolare deve:

  • integrare il registro dei trattamenti, da tenersi ai sensi dell’art. 30 GDPR, con nuovi elementi (trattamenti, banche dati, strumenti, esternalizzazioni, misure di sicurezza) che dovessero riguardare le attività in smart working;
  • valutare, in base a quanto disposto nel GDPR e nello Statuto dei Lavoratori, il potenziale invasivo di eventuali sistemi che consentano il monitoraggio dell’utilizzo degli strumenti e della “rete aziendale”, eventualmente sottoponendoli a valutazione d’impatto – DPIA ex 33 GDPR;
  • valutare la necessità di integrare l’informativa ai lavoratori, in virtù di eventuali nuovi trattamenti datoriali collegati allo smart working;
  • integrare o riformulare le istruzioni per la sicurezza dei dati da rendersi allo smart worker;
  • intraprendere specifiche iniziative di formazione per fornire gli opportuni strumenti di conoscenza e consapevolezza;
  • ampliare l’ambito di autorizzazione degli amministratori di sistema;
  • verificare che le soluzioni informatiche eventualmente sviluppate internamente per consentire lo svolgimento del lavoro a distanza siano conformi ai principi di privacy by design/by defaulte garantiscano la sicurezza dei dati ex 32 GPDR;
  • verificare la contrattualistica e la conformità al GDPR delle soluzioni o piattaforme fornite da terzi, valutando la necessità e l‘adeguatezza di eventuali data processing agreement da sottoscrivere ai sensi dell’art. 28 del GDPR per la nomina a Responsabili del trattamento.

Il Titolare del trattamento deve informare i lavoratori in smart working su quale sia l’ambito di trattamento consentito. Essi saranno autorizzati ad eseguire i medesimi trattamenti di dati che sono ammessi a svolgere in ufficio secondo le proprie mansioni, fatte salve le attività non eseguibili da remoto, nonché le diverse e specifiche indicazioni del Datore di lavoro. E’ necessario che il Titolare informi i lavoratori che, anche in caso di prestazioni rese a distanza, permangono e, quindi, vigono gli obblighi generali di:

  • non violare il segreto e la riservatezza delle informazioni trattate;
  • proteggere i dati contro i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito;
  • rispettare e applicare le misure di sicurezza fisiche, informatiche, organizzative, logistiche e procedurali;
  • utilizzare soltanto per rendere la prestazione lavorativa gli eventuali strumenti tecnologici “aziendali”, quali computer, smartphone, ecc., che il Titolare abbia concesso in uso anche al di fuori della struttura;
  • contattare il Titolare o l’amministratore di sistema per qualsiasi dubbio, sospetto di incidente o di violazione che possa compromettere i dati aziendali o dello studio professionale.

Al lavoratore dovrà essere fornita un’adeguata informativa. Essa deve essere concisa e trasparente e dovranno esservi indicate le modalità di utilizzo delle dotazioni aziendali, tra cui l’eventuale utilizzo delle stesse ai soli fini lavorativi, oppure la possibilità di farne uso anche per scopi personali.

In essa, dovranno essere precisate le modalità e la durata della conservazione dei dati raccolti nonché l’utilizzabilità degli stessi a fini disciplinari.

In virtù di tale ultimo scopo, si rammenta la necessità di prevedere, anche mediante apposito Regolamento Aziendale, le condotte integranti addebiti disciplinarmente rilevanti ed individuare preventivamente le relative sanzioni.

Hai bisogno di formare un Responsabile Privacy?

Contattaci

Smart working e privacy: il diritto del datore di lavoro a controlli mirati

Il datore di lavoro ha quindi il diritto di effettuare controlli mirati, al fine di verificare il corretto utilizzo degli strumenti di lavoro.

Come richiamato anche dalla più recente Giurisprudenza: «In punto di controllo da parte del datore di lavoro sull’utilizzo dello strumento presente sul luogo di lavoro e in uso al lavoratore per lo svolgimento della prestazione poi questa Corte, premesso che la materia esula dai cd. controlli a distanza disciplinati dalla L. n. 300 del 1970, art. 4, ha precisato che il datore di lavoro può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 c.c.), tra cui i p.c. aziendali, purché rispetti la libertà e la dignità dei lavoratori, nonché, con specifico riferimento alla disciplina in materia di protezione dei dati personali dettata dal d. lgs. n. 196 del 2003, i principi di correttezza, di pertinenza e non eccedenza di cui all’art. 11, comma 1, del Codice» (Cass. civ. sez. lav., 10.11.17, n. 26682).

Area Privacy Meleam

Vuoi una consulenza gratuita in tema Privacy? contatta Meleam al 800 621 247.