Il Coronavirus ha sparigliato l'organizzazione del lavoro in Italia, costringendo all'immediata adozione dello smart working, tralasciata qualsiasi formalizzazione. I rischi data protection però restano e quindi ecco un fac-simile per la nomina dello smart worker quale incaricato privacy da utilizzare in emergenza.
La maggior parte delle aziende italiane, entrata da poco nel meccanismo del GDPR, si vede pioversi addosso la tegola dello smart working forzato dal Coronavirus. Poche imprese hanno già introdotto percorsi di smart working in linea con la disciplina giuslavoristica della sicurezza e della salute nonché in linea con il GDPR. Il Coronavirus non ammette periodi di prova e così dall'oggi al domani tutti a casa a lavorare con strumenti di fortuna dispositivi personali del dipendente o di dotazione aziendale ma spesso sforniti di connessioni protette con l'impresa. L'attività dello smart working non si riduce alla dotazione al dipendente di un dispositivo mobile aziendale ma implica l'assunzione di un regolamento ben preciso sia in termini di disciplina giuslavoristica sulla sicurezza e salute sia in termini di data protection, di proprietà intellettuale, di concorrenza. Regolamento da condividere con i lavoratori grazie alla formazione almeno bimestrale e alla sottoscrizione di una specifica lettera di incarico. Inoltre, mai credere che lo smart working sia questo isolamento eremitico del lavoratore, al contrario si tratta di ricostruire l'ambiente aziendale on line. Postazioni virtuali che comunicano tra loro in uno spazio protetto in cui non sono ammessi mezzi personali come posta elettronica, browser, Google doc o altra piattaforma di condivisione dei documenti o comunque delle attività lavorative. Occorre costruire uno spazio digitale dove esiste il segreto aziendale, il divieto di concorrenza, il diritto di proprietà intellettuale, l'obbligo di rispettare la riservatezza delle informazioni acquisite sull'impresa datoriale e su tutti i relativi fornitori, partners, clienti. Dove esiste l'imperativo assoluto dell'osservanza del GDPR e delle complementari cyber security e business continuity. Non esiste più un perimetro aziendale elettronico distintivo tra interno ed esterno dell'azienda. Ormai le aziende hanno assunto una struttura diffusa costituita da sistemi locali e da allocazioni in diverse cloud a seconda del servizio utilizzato. Risulta davvero impegnativo controllare e dirigere la sicurezza di tutti questi ambienti aziendali. Occorrerebbe una consolle centralizzata in grado di vedere e controllare tutti gli ambienti digitali dell'organizzazione comprese - pur nel rispetto del divieto di sorveglianza - le postazioni virtuali degli smart workers. Le postazioni virtuali dovrebbero connettersi alla cloud datoriale tramite una virtual private network VPN crittografata, condividere le attività in una sandbox e comunicare in una chat dedicata e crittografata oppure a mezzo server mail aziendale in cloud protetto da gateway. Tuttavia, tutto questo non sarebbe sufficiente se non si disponesse anche un'automatizzazione della gestione della sicurezza degli end-point o dispositivi mobili aziendali o postazioni virtuali. Automatizzare la security governance significa garantire una risposta alla minaccia in tempo reale mentre il team IT aziendale - sebbene tempestivo - opera manualmente. I softwares antivirus sono sempre aggiornati e quindi potrebbe apparire che non vi sia la necessità dell'automatizzazione della sicurezza. Tuttavia sappiamo bene che il rischio deriva soprattutto dagli errori umani ed è qui che interviene l'intelligenza artificiale dei sistemi automatizzati. Ulteriore problema si pone per i fornitori di servizi via digitale ovvero per i cosiddetti outsourcers o responsabili privacy esterni che devono redigere un apposito regolamento privacy per la modalità smart working e provvedere a farlo sottoscrivere per accettazione sia lato committente o titolare del trattamento sia lato dipendente o incaricato privacy. Proviamo insieme ad ipotizzarne un contenuto di massima da adeguare via via al caso specifico. SMART WORKING ATTO DI AUTORIZZAZIONE E ISTRUZIONI ALL’INCARICATO DEL TRATTAMENTO DEI DATI PERSONALI Gent.ma/mo premesso che Lei è dipendente della nostra struttura e che a causa dell'emergenza Coronavirus il Governo ha stabilito con DPCM 23.02.2020 e DPCM 4.03.2020 - anche in assenza dell’accordo individuale - l'attivazione immediata su tutto il territorio nazionale dello Smart Working o lavoro agile art. 18 L. 81/2017 per tutti i tipi di lavori per cui risulti attuabile, Le e' stata concessa immediatamente la modalità di lavoro agile o Smart Working. Al fine di espletare le Sue prestazioni in linea con la disciplina del GDPR 2016/679 e del D.lgs 101/18, occorre che si attenga al seguente REGOLAMENTO PRIVACY PER LO SMART WORKING Le prestazioni contrattuali da Lei svolte comportano il trattamento di dati personali e per questo era già stato investito della nomina di incaricato o autorizzato privacy ai sensi degli artt. 4,29,32 e 39 GDPR 2016/679 con apposita lettera di incarico il cui contenuto quivi deve intendersi integralmente riportato. Della ridetta lettera di incarico privacy preme ricordare l'obbligo di attenersi - nonché alle norme di legge - alle Istruzioni allegate di cui in particolare da adeguare e applicare anche nell'attuale condizione di Smart Worker - il dovere di non violare il segreto e la riservatezza delle informazioni trattate - il dovere di proteggere i dati contro i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito - il dovere di rispettare e applicare le misure di sicurezza fisiche, informatiche, organizzative, logistiche e procedurali - il dovere di rispettare e applicare il Regolamento per l'utilizzo degli strumenti informatici ed elettronici, il Regolamento per l'utilizzo della posta elettronica, di internet e delle app. Si avverte che prima di compiere qualsiasi attività difforme da quanto sopra richiamato occorre assolutamente rivolgersi al proprio referente gerarchico superiore o al titolare del trattamento o all'amministratore di sistema per ottenere eventuale autorizzazione. Agli stessi soggetti occorre immediatamente comunicare qualsiasi anomalia informativa riscontrata nel sistema oppure verificatasi durante l'attività il tablet e' caduto ma sembra funzionante, lo screen saver non appare più, ecc . Si avverte altresì che nella Sua attuale condizione di Smart Worker ha i seguenti specifici obblighi - individuare in casa una stanza o comunque uno spazio deputato per allestire la postazione lavorativa che possa essere utilizzato in modo esclusivo interdicendone l'accesso agli altri familiari, con possibilità di chiusura della porta a chiave, con armadietti dotati di serratura ove riporre la documentazione e/o gli strumenti di lavoro - assicurarsi della conformità delle prese elettriche domestiche prima di utilizzarle per alimentare il dispositivo o i dispositivi aziendali - assicurarsi che la postazione scelta non possa essere investita da acqua, fuoco, vento, calore eccessivo - evitare di lasciare incustodita la postazione e al termine di ogni sessione lavorativa riporre tutto negli armadietti chiusi a chiave - utilizzare il dispositivo mobile aziendale solo ed esclusivamente per le attività lavorative evitando assolutamente di utilizzarlo per accedere a social network o a qualsiasi sito web o server mail che non appartenga a quelli già preventivamente impostati dall'amministratore di sistema - evitare di inserire nel dispositivo aziendale pennette USB o comunque basi dati esterne ed evitare di scaricare applicazioni non autorizzate dall'azienda - evitare assolutamente di salvare le password sul browser ove non siano ancora state attuate le credenziali di accesso multifattore come quelle delle banche - evitare di comunicare con i colleghi tramite mezzi diversi da quelli indicati dal datore di lavoro - evitare di postare ai colleghi le proprie credenziali di accesso - evitare di condividere con i colleghi documenti aziendali o attività lavorative su piattaforme come Google document ovvero altre simili e/o comunque piattaforme diverse da quella aziendale o da quella indicata dal datore di lavoro - evitare di attingere la connettività dal modem o dalla WiFi di casa o da hot spot sconosciuti oppure hot spot pubblici o comunque da qualsiasi altra fonte che non sia quella indicata o già impostata dall'azienda - comunicare al datore in modo preciso e puntuale gli orari di lavoro che comunque devono assolutamente essere individuati in fasce giornaliere corrispondenti a quelle in cui si svolge o si svolgeva l'attività aziendale al fine di avere un immediato supporto in caso di anomalie informative e/o informatiche - spedire al termine di ogni giornata lavorativa un breve report al datore di lavoro in merito alle informazioni trattate, a eventuali condivisioni di documenti con i colleghi o ai colloqui con essi, alle conferenze via Skype o simili intercorse con fornitori, clienti, partners o qualsiasi altro soggetto, al fine di poter risalire la catena delle attività compiute in caso di esigenze di recupero dati e/o informazioni. Tutto quanto sopra esposto costituisce attualmente - sebbene suscettibile di modifiche e/o integrazioni - il regolamento data protection che lo Smart Worker e' obbligato ad osservare. Tutti gli obblighi sopradescritti fanno parte integrante della prestazione lavorativa e pertanto sono da Lei dovuti in base al contratto di lavoro. La presente autorizzazione/istruzione ha efficacia fino a quando non verrà revocata la modalità Smart Working da parte del datore di lavoro. I dati di contatto del Titolare del Trattamento sono Si prega di rispondere alla presente comunicazione con e-mail in cui si dichiara Confermo la lettura e l'accettazione dell'incarico privacy per lo Smart Working. Nome Cognome . Clicca qui per consultare la sezione dedicata al decreto Coronavirus