Privacy e Smart Working, come rispettare il GDPR

1 View

L’emergenza Coronavirus ha portato molte imprese a cambiare le proprie modalità di lavoro. In molti casi, soprattutto nelle realtà più piccole e meno strutturate, ci si è affacciati per la prima volta e in un contesto anomalo, al c.d. lavoro agile.

La situazione emergenziale, il poco tempo per potersi organizzare, la necessità di non interrompere le attività lavorative e allo stesso tempo di garantire la sicurezza dei lavoratori hanno costretto molte imprese ad improvvisare l’attivazione dello smart working.

Il lavoro agile ha molti vantaggi, permette infatti al lavoratore di conciliare i tempi vita-lavoro consente una maggior flessibilità,  un recupero del tempo di norma impiegato per il tragitto casa-lavoro, spesso porta ad una maggior produttività ma laddove non adeguatamente programmato, porta con sé anche rischi e criticità.

Primo fa tutti l’aspetto sicurezza e conseguentemente la tutela dei dati personali.

L’utilizzo di dispositivi personali dei dipendenti (laptop, smartphone ecc…) e di strumenti “non aziendali” quale ad esempio la connessione internet della propria abitazione o del proprio smartphone  per lo svolgimento dell’attività lavorativa (tra cui ad esempio la condivisione di file e documenti) o ancora l’uso di frettolosi collegamenti da remoto effettuati su VPN verso i server aziendali (senza le dovute misure di sicurezza) o la mancanza di adeguate policy aziendali, mettono a serio rischio i dati aziendali e il rispetto della privacy tanto da esporre l’impresa a possibili sanzioni.

Lo smart working infatti richiede una buona padronanza nell’utilizzo degli strumenti informatici ed in generale dell’innovazione digitale ed anche una buona organizzazione a livello aziendale.

E’ vero che i lavoratori in qualità di incaricati al trattamento hanno ricevuto apposite istruzioni da parte del titolare ma è altrettanto vero che tali istruzioni e tali policy sono state fornite e pensate per una attività lavorativa che si svolge fra le mura aziendali.

Cosa occorrere dunque per poter rispettare il GDPR anche in caso di smart working?

La prima cosa da fare è sicuramente quella di analizzare i trattamenti che saranno soggetti allo smart working, analizzare quindi i dati trattati, le modalità con cui verranno trattati, da chi saranno trattati e soprattutto quali sono e/o possono essere i rischi e quali le idonee misure di sicurezza che occorre adottare per scongiurarli. Uno strumento quindi utile per rispettare la c.d. accountability ed i principi di privacy by design e by default è la valutazione di impatto privacy, da svolgersi prima di effettuare il trattamento.

Altro aspetto da non tralasciare è quello della cyber security, la condivisione di dati in modo non sicuro li espone a sottrazioni illecite, perdite accidentali, accessi e/o diffusioni non autorizzati. E’ quindi importante prevedere idonee misure di sicurezza, per scongiurare quanto più possibile tali rischi.

Le connessioni quindi dovranno avvenire (anche tramite VPN) ma con protezione e criptazione della connessione. I dispositivi dovrebbero essere forniti dall’azienda e devono essere utilizzati per la sola attività lavorativa e non per scopi personali. Essi poi devono possedere dischi criptati e sempre criptate devono essere le informazioni in essere elaborate/archiviate. Devono essere attivati sistemi antivirus business (che possiedono quindi livelli di protezione maggiori rispetto agli antivirus che di norma si installano sui dispositivi personali/amatoriali). Devono essere stabiliti i livelli di accesso di ogni lavoratore in base alle proprie mansioni e i singoli poteri nelle attività da svolgersi e cosi via.

Le misure di sicurezza da adottare dovranno essere studiate caso per caso al fine di individuare le misure più idonee cosi come richiesto dalla normativa vigente in materia di protezione dei dati personali.

Nonostante tutte le problematiche ed i rischi connessi per la protezione dei dati personali dei soggetti interessati, derivanti da nuove ed innovative modalità di lavoro non bisogna arrestare il processo di sviluppo di questi nuovi metodi di lavoro ormai fondamentali nell’era digitale.