La protezione dei dati ed il diritto di disconnessione nel nuovo protocollo nazionale sul lavoro in modalità agile nel settore privato

Il Ministero del lavoro e le parti sociali sottoscrivono uno specifico protocollo per disciplinare il lavoro agile e individuano un percorso condiviso anche sui profili di compliance GDPR data breach, DPIA e su come regolamentare il diritto alla disconnessione.

Il 7 dicembre 2021 il Ministro del Lavoro e le organizzazioni sindacali datoriali e dei lavoratori hanno sottoscritto un protocollo per disciplinare il lavoro agile nel settore privato. La finalità del protocollo è fornire a imprese e lavoratori del settore privato le linee guida con cui regolamentare il lavoro agile o smart working . Il protocollo nasce dal risultato delle analisi dei dati da parte del Gruppo di lavoro agile istituito dal Ministero e dalla necessità di proporre alle imprese e alle organizzazioni sindacali e al paese, soluzioni e nuovi obiettivi. Il protocollo individua, pertanto, delle linee direttrici per la contrattazione collettiva di lavoro nazionale, territoriale e aziendale , espressamente valorizzata quale fonte privilegiata di regolamentazione dello svolgimento della prestazione di lavoro in modalità agile . Il lavoro agile nella visione del Ministro e delle parti sociali è uno strumento giuridico che può condurre ad una nuova concezione dell'organizzazione del lavoro meno piramidale e più orientata a obiettivi e fasi di lavoro e può consentire una organizzazione più produttiva e snella nell'interesse sia del datore di lavoro e una migliore conciliazione dei tempi di vita e di lavoro. Il protocollo fissa il quadro di riferimento, condiviso tra le Parti sociali, per la definizione dello svolgimento del lavoro in modalità agile esprimendo pertanto linee di indirizzo per la contrattazione collettiva nazionale, aziendale e/o territoriale nel rispetto della disciplina legale di cui alla legge 22 maggio 2017, n. 81 e degli accordi collettivi in essere, tutto ciò affidando alla contrattazione collettiva quanto necessario all'attuazione nei diversi e specifici contesti produttivi. Il protocollo disciplina i profili dell'accordo individuale articolo , dell'organizzazione del lavoro agile e regolazione della disconnessione articolo , del luogo di lavoro articolo degli strumenti di lavoro articolo , dalla salute e sicurezza del lavoro art. 6 , infortuni e malattie professionali articolo , diritti sindacali articolo , parità di trattamento e pari opportunità articolo , lavoratori fragili e disabili articolo , welfare e inclusività articolo , protezione dei dati personali e riservatezza articolo , formazione e informazione articolo , osservatorio bilaterale di monitoraggio, incentivo alla contrattazione collettiva, articolo , disposizioni finali art. 16 . Il protocollo sottolinea come l'adesione al lavoro agile sia su base volontaria e sia subordinata alla sottoscrizione di un accordo individuale, fermo restando il diritto di recesso ivi previsto. Viene specificato che l'eventuale rifiuto del lavoratore di aderire o svolgere la propria prestazione lavorativa in modalità agile non integra gli estremi del licenziamento per giusta causa o giustificato motivo, né rileva sul piano disciplinare finalmente siglato il Protocollo nazionale sul lavoro in modalità agile , tra il Governo e le Parti sociali. Il protocollo richiama l'attenzione delle imprese e delle organizzazioni sull'importanza della protezione dei dati personali e sulla valorizzazione della formazione. La protezione dei dati costituisce un file rouge del testo dall'art. 3 sull'organizzazione del lavoro agile e regolazione della disconnessione, all'art. 5 sugli strumenti di lavoro, all'art. 12 sulla protezione dei dati personali e riservatezza . Il protocollo approfondisce il profilo degli strumenti di lavoro e dei possibili data breach e delle responsabilità nell'utilizzo dei device. Si evidenzia che fatti salvi diversi accordi, il datore di lavoro, di norma, fornisce la strumentazione tecnologica e informatica necessaria allo svolgimento della prestazione lavorativa in modalità agile, al fine di assicurare al lavoratore la disponibilità di strumenti che siano idonei all'esecuzione della prestazione lavorativa e sicuri per l'accesso ai sistemi aziendali. Viene specificato che le spese di manutenzione e di sostituzione della strumentazione fornita dal datore di lavoro, necessaria per l'attività prestata dal dipendente in modalità agile, sono a carico del datore di lavoro stesso, che ne resta proprietario. Nel caso in cui il lavoratore utilizzi strumenti tecnologici e informatici propri del lavoratore, occorre raggiungere un previo accordo e stabilire, in termini chiari, i criteri e i requisiti minimi di sicurezza da implementare. Nel sopra citato accordo è possibile concordare eventuali forme di indennizzo per le spese. Il protocollo richiama l'obbligo dei dipendenti di attivare la procedura di data breach . Viene infatti, previsto che, in caso di guasto, furto o smarrimento delle attrezzature e in ogni caso di impossibilità sopravvenuta a svolgere l'attività lavorativa, il dipendente è tenuto ad avvisare tempestivamente il proprio responsabile e, se del caso, attivare la relativa procedura aziendale per la gestione del data breach violazioni di dati . Il protocollo prevede la responsabilità del dipendente, nel caso in cui sia accertato un comportamento negligente da parte del lavoratore cui conseguano danni alle attrezzature fornite. Viene previsto che nel caso in cui persista l'impossibilità a riprendere l'attività lavorativa in modalità agile in tempi ragionevoli, il dipendente e il datore di lavoro devono concordare le modalità di completamento della prestazione lavorativa, ivi compreso il rientro presso i locali aziendali. Tutta la strumentazione tecnologica e informatica fornita dal datore di lavoro deve essere conforme alle disposizioni del d.lgs. del 9 aprile 2008, n. 81 e s.m.i. L'art. 12 del protocollo disciplina i profili della protezione dei dati personali e riservatezza e richiama l'attenzione sui diritti e doveri del dipendente, sugli adempimenti del datore di lavoro e sugli impatti organizzativi . Viene specificato che resta ferma la normativa vigente sul trattamento dei dati personali e, in particolare, il Regolamento UE n. 679/2016 GDPR . Il lavoratore in modalità agile è tenuto a trattare i dati personali cui accede per fini professionali in conformità alle istruzioni fornite dal datore di lavoro. Viene previsto che il lavoratore è tenuto, altresì, alla riservatezza sui dati e sulle informazioni aziendali in proprio possesso e/o disponibili sul sistema informativo aziendale. Il protocollo illustra e riassume il percorso GDPR che il datore di lavoro deve attuare sicurezza informatica, istruzioni, DPIA, informazioni trasparenti, formazione . Il datore di lavoro adotta tutte le misure tecnico-organizzative adeguate a garantire la protezione dei dati personali dei lavoratori in modalità agile e dei dati trattati da questi ultimi. Il datore di lavoro è tenuto a fornire al lavoratore agile le istruzioni e l'indicazione delle misure di sicurezza che lo stesso deve osservare per garantire la protezione, segretezza e riservatezza delle informazioni che egli tratta per fini professionali. Il datore di lavoro/titolare del trattamento deve procedere all'aggiornamento del registro del trattamento dei dati connessi alle attività svolte anche in modalità di lavoro agile. Il protocollo specifica che al fine di verificare che gli strumenti utilizzati per il lavoro in modalità agile siano conformi ai principi di privacy by design e by default, è sempre raccomandata l'esecuzione di valutazione d'impatto DPIA dei trattamenti. Il datore di lavoro è tenuto a informare il lavoratore agile in merito ai trattamenti dei dati personali che lo riguardano, anche nel rispetto di quanto disposto dall' art. 4 Stat. Lav . e s.m.i. Il successivo art. 13 del protocollo specifica, che il datore di lavoro deve fornire, per iscritto , al lavoratore in modalità agile tutte le informazioni adeguate sui controlli che possono essere effettuati sul trattamento dei dati personali come previsto dalla normativa vigente. Occorre infatti distinguere le informazioni sul trattamento dei dati disciplinate dall' art. 13 del GDPR dalla informazione sugli strumenti di controllo art. 4, terzo comma della legge 300 del 1970 statuto dei lavoratori entrambi gli istituti costituiscono presupposti di liceità del trattamento delle ma restano documenti autonomi. Come evidenziato dalla giurisprudenza l'adeguata informativa è documento più ampio e articolato del documento delle informazioni rese ai sensi dell' art. 13 del GDPR al dipendente. Il datore è infatti tenuto a fornire le informazioni delle modalità d'uso degli strumenti e di effettuazione dei controlli il lavoratore deve essere in grado di comprendere con quali modalità può essere utilizzato lo strumento per la prestazione lavorativa? e in che modo i dati ricavati dal suo utilizzo potranno essere utilizzati anche per fini disciplinari? Sarebbe opportuno inserire nelle informative sui controlli il richiamo delle sanzioni previste dal codice disciplinare e procedere al loro aggiornamento in modo periodico alla luce delle modifiche tecniche e organizzative. Nel protocollo viene evidenziato al sesto comma dell'articolo 12 del testo che le parti sociali convengono sulla necessità di adottare un codice deontologico e di buona condotta per il trattamento di dati personali dei lavoratori in modalità agile da sottoporre al previsto giudizio di conformità da parte dell'Autorità Garante per la Protezione dei dati personali. La sopra citata previsione è importante nell'ottica di rafforzare il dialogo fra il mondo delle imprese e l'autorità Garante per la protezione dei dati personali che, negli ultimi anni di pandemia è stato più complesso che in passato. In riferimento al diritto di disconnessione viene previsto, agli art. 2, comma 1, lett. f , e dall'art. 4 del protocollo che la prestazione di lavoro in modalità agile può essere articolata in fasce orarie, individuando, in ogni caso, in attuazione di quanto previsto dalle disposizioni normative vigenti, la fascia di disconnessione nella quale il lavoratore non eroga la prestazione lavorativa. Il protocollo sottolinea che devono essere adottate specifiche misure tecniche e/o organizzative per garantire la fascia di disconnessione . Il protocollo in esame è importante in quanto fornisce soluzioni a problemi operativi connessi all'organizzazione del lavoro, della condivisione di informazione e riduzione dei tempi di risposte alle richieste e sancisce il passaggio del lavoro agile da strumento emergenziale connesso al contrasto della pandemia a strumento ordinario di lavoro. L'innovazione non può essere subita dalle organizzazioni ma deve essere governata. Il protocollo valorizza il ruolo delle competenze e della formazione. Come indicato nell'art. 13 le parti sociali ritengono necessario gestire lo sviluppo digitale attraverso un utilizzo appropriato della tecnologia, evitando qualsiasi forma di invasione nella vita privata, nel pieno rispetto della persona . Il protocollo richiede la promozione di corsi di formazione per tutto il personale per un uso responsabile delle apparecchiature tecnologiche, evitando abusi dei canali digitali. Come indicato nel protocollo deve essere dunque favorita, anche con eventuali incentivi, la formazione continua l'aggiornamento professionale è tanto più necessario per i lavoratori in modalità agile, considerando la rapida evoluzione dei sistemi e degli strumenti tecnologici. La normativa sulla protezione dei dati personali e la sicurezza informatica costituiscono le leve culturali e organizzative che accompagnano le imprese in questo percorso di innovazione nell'interesse e nell'ottica di tutela dell'intera società e non solo del mondo produttivo.

Ministero del Lavoro e delle Politiche Sociali, Protocollo Nazionale sul lavoro agile, 7 dicembre 2021