Come sappiamo, l’emergenza del Coronavirus ha spinto molte aziende a chiedere ai propri dipendenti di lavorare da remoto, cioè da casa, per restare produttive e operative nonostante le limitazioni alla circolazione e all’aggregazione di persone anche nelle organizzazioni. Questa modalità di lavoro, implementata per ragioni di necessità, rappresenta però una minaccia per la privacy e la sicurezza dei dati personali dei dipendenti. La principale criticità è data dal fatto che questi sono spesso costretti ad utilizzare i loro dispositivi personali per accedere ai sistemi aziendali. Vediamo come mettere i dipendenti in condizione di operare da casa in piena sicurezza.
Che cos’è lo smart working
Con la pubblicazione in Gazzetta Ufficiale del Decreto 23 febbraio 2020, il governo ha voluto facilitare l’adozione dello smart working, detto anche lavoro agile, nelle zone considerate a rischio Covid-19. Il decreto, nella versione del 1 marzo 2020, ha poi esteso l’invito a usufruire dello smart working anche al resto d’Italia. Il Dpcm prevede che il lavoro agile possa essere attivato senza accordo individuale tra azienda e lavoratore.
Smart working, dove l’aggettivo smart indica agilità, non significa solo lavorare a distanza. Stando alla definizione dell’Osservatorio Smart Working del Politecnico di Milano, si tratta di “una nuova filosofia manageriale fondata sulla restituzione alle persone di flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati”.
Secondo l’ultima ricerca dell’Osservatorio, lo smart working è una realtà per il 58% delle grandi imprese. Per quanto riguarda le PMI, la diffusione di progetti strutturati è aumentata al 12%, mentre sono salite al 18% le piccole e medie imprese che prediligono un approccio informale. Cresce però in maniera preoccupante anche il numero di imprese non interessate all’argomento, passate dal 38% al 51%.
Se da un lato lo smart working aumenta la produttività delle imprese, dall’altro espone ad un maggior rischio di attacchi informatici. Sarebbero quindi opportune delle misure chiarificatrici da parte del Garante in tema di protezione dei dati personali per l’utilizzo dei device che permettono di lavorare da remoto, e cioè pc, portatili, tablet e smartphone personali e/o dispositivi aziendali.
Questa modalità diversa di svolgere la prestazione lavorativa, disciplinata dalla Legge81/2017, pone diverse questioni in termini di sicurezza dei dati e tutela della privacy. Di solito lo smart working viene svolto con l’utilizzo di dispositivi aziendali adeguatamente protetti per mantenere al sicuro progetti, dati sensibili e quant’altro. In questa situazione di emergenza, in cui i lavoratori si trovano ad operare a distanza in seguito a provvedimenti emessi dalle autorità, si rende necessario l’uso di pc e smartphone esterni al perimetro aziendale, e questo aumenta i rischi informatici.
Si pensi, ad esempio, ai rischi per le e-mail Pec (posta elettronica certificata) in cui offerte di software per lo smartworking potrebbero nascondere degli allegati non sicuri che installano sul pc domestico malware capaci di raccogliere dati da milioni di computer. Oppure a connessioni effettuate usando reti private virtuali (VPN) attivate frettolosamente.
Come integrare la privacy nell’idea di smart working
La gestione del lavoro da remoto richiede l’uso di infrastrutture digitali adeguate, una corporate governance considerata in un’ottica integrata e modelli aziendali evoluti. Tutto ciò ha evidenti implicazioni di privacy. Le tecnologie digitali hanno la capacità di ampliare e rendere virtuali le postazioni lavorative, aprire nuovi scenari per svolgere la propria mansione, creare nuove reti professionali e nuove modalità di lavoro perché il lavoro agile si pratica, oltre che a casa, ovunque si voglia.
Ci apprestiamo dunque a seguire le orme della Cina, dove da settimane è in atto “il più grande esperimento di smartworking messo in atto”. Così è stata definita da Bloomberg la scelta di molte aziende in Cina di fare ricorso al lavoro agile. Anche l’Italia, per evitare che le imprese rimangano ferme a causa dell’emergenza sanitaria per il Coronavirus, è ricorsa allo smart working, grazie al Decreto attuativo che facilita l’adozione del telelavoro bypassando tutti gli adempimenti normativi richiesti dalla legge del 2017.
E mentre si discute se sia giusto che il datore di lavoro conduca un’indagine epidemiologica dell’infezione sui propri dipendenti e sui visitatori prima dell’accesso in azienda come misura per prevenire il contagio e proteggere la salute comune, ci si chiede quali siano i possibili rischi informatici in cui si può incorrere lavorando da casa.
Attualmente è impossibile fare previsioni certe sulla fine della pandemia da Coronavirus, ma, anche grazie alle ricerche effettuate da svariati team di esperti in medicina, possiamo ben sperare che prima o poi l’emergenza finisca. Intanto però i dati personali, portati al di fuori del perimetro aziendale, dove erano protetti, possono essere rubati, modificati, persi, sottoposti ad accesso non autorizzato, e via discorrendo.
Con l’emergenza sanitaria del nuovo Coronavirus, il Garante della privacy ha ricevuto numerosi quesiti, sia da parte di enti pubblici che di soggetti privati, riguardo alla possibilità di raccogliere dati sullo stato di salute dei dipendenti e dei visitatori nel rispetto del Regolamento europeo in materia di protezione dei dati personali, detto anche GDPR. Non dobbiamo però dimenticare che con lo smart working si maneggiano a distanza dati sensibili e che le tradizionali soluzioni di controllo degli accessi non sono adatte a garantire la sicurezza di pc e dispositivi privati degli smart workers.
Smart working a norma GDPR
Qualcuno potrebbe dire che i dipendenti dovrebbero essere già consapevoli dei rischi informatici in cui possono incorrere e di come proteggere i dati trattati nello svolgimento del proprio lavoro, ma si tratta di procedure di sicurezza che in genere non sono rivolte al lavoro da casa, specialmente nelle aziende dove questo non è abitualmente utilizzato. Cosa bisogna fare, allora, per mettere in sicurezza i dati degli interessati, ora che sono più esposti ad attacchi esterni? Anche in questa situazione che si profila come una vera e propria emergenza, la prima linea di difesa che il titolare del trattamento dovrebbe mettere in campo per tutelare i dati personali degli interessati è rispettare il GDPR.
Aderire allo smart working nel rispetto del GDPR significa una maggiore attenzione da parte del titolare del trattamento dei dati personali degli interessati, evitando temporaneamente quei trattamenti che comportano rischi elevati. È quindi necessario operare come se la modalità del lavoro agile fosse stata prevista sin dal principio. In ossequio al principio di accountability, vero pilastro del GDPR, che responsabilizza il titolare del trattamento, risulta necessario svolgere una valutazione d’impatto del trattamento dei dati personali (DPIA) nell’ambito dello smart working adottato in risposta all’emergenza, elementi che potrebbero avere un impatto negativo sui diritti e le libertà degli interessati. In ogni caso, il rischio rimane alto, in particolar modo laddove non siano state predisposte le giuste misure per mitigarlo. Per chi non si adegua alle misure fissate dal GDPR è prevista un’ammenda fino al 2% del fatturato totale mondiale con un tetto massimo di 10 milioni di euro.
L’uso dei device privati per scopi aziendali, che rientra in una politica gestionale definita come BYOD (Bring Your Own Device, porta il tuo dispositivo), rappresenta un invito per i cyber criminali, che sperano di trarre vantaggio da questa situazione. Oggi i lavoratori che si collegano da remoto sono potenzialmente oggetto di attacchi di hacker. A causa del rischio di accessi abusivi, furto di dati sensibili, perdita involontaria di dati, e così via, è indispensabile formare gli smart worker (tramite videoconferenza, visto il periodo critico) per spiegare loro le basi della sicurezza nel lavoro a distanza.
Malgrado i rischi legati alla protezione dei dati personali, dobbiamo incentivare lo sviluppo di nuove modalità di esecuzione della prestazione lavorativa nell’era di internet, abbandonando il pensiero che solo la presenza in azienda sia garanzia di risultato. Occorre però applicare di volta in volta le giuste misure di sicurezza, in conformità alla normativa vigente e osservando il principio di accountability e di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default).