È noto a tutti che attualmente risulta – quasi – impossibile poter lavorare senza l’ausilio di un qualsivoglia strumento automatico o di un device, quale lo smartphone, il personal computer o un tablet.
Il cambio di marcia digitale non ha solo influenzato i produttori di tali strumenti, ma ha permeato tutto il tessuto economico e sociale a cui si riferiscono: clienti, siano essi aziende o persone fisiche.
In azienda.
In questo contesto si inserisce il diritto dello smartworker ad essere disconnesso dal proprio lavoro e poter porre il device aziendale in modalità offline. L’articolo 19 comma 1 della Legge n. 81/17 dispone che “(…) l’accordo individui tempi di riposo del lavoratore nonché le misure tecniche e organizzative necessarie per assicurare la disconnessione del lavoratore dalle strumentazioni tecnologiche di lavoro”. Sulla scorta della legge sopra menzionata il Garante privacy italiano Soro ha ritenuto di dover suggerire ai datori di lavori di assicurare in “modo più netto” il diritto alla discussione per tutelare la distanza tra spazi di vita privata e attività lavorativa: “Il ricorso alle tecnologie non può rappresentare l’occasione per il monitoraggio sistematico del lavoratore. Deve avvenire nel rispetto delle garanzie sancite dallo Statuto a tutela dell’autodeterminazione del lavoratore che presuppone, anzitutto formazione e informazione del lavoratore sul trattamento a cui i suoi dati saranno soggetti. Non sarebbe legittimo fornire per lo smart working un computer dotato di funzionalità che consentono al datore di lavoro di esercitare un monitoraggio sistematico e pervasivo dell’attività compiuta dal dipendente tramite questo dispositivo”.
Il titolare deve tener conto che il principio di responsabilizzazione o accountability), il quale si estende ai trattamenti di dati da svolgersi in modalità di smart working o a mezzo devices. Questo significa adottare comportamenti proattivi che dimostrino la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento europeo e delle normative nazionali in materia.
Nella pratica, il titolare (o il responsabile) potrà dover:
- integrare il registro dei trattamenti (30 GDPR);
- valutare ai sensi del GDPR e dello Statuto dei Lavoratori il potenziale invasivo di eventuali sistemi (valutazione d’impatto – DPIA ex art. 33 GDPR);
- intraprendere specifiche iniziative di formazione per conferire al lavoratore agile gli opportuni strumenti di conoscenza e consapevolezza;
- ampliare, se necessario, l’ambito di autorizzazione degli amministratori di sistema, osservando le prescrizioni rese in materia dal Garante con Provvedimento del 2008 tutt’oggi in vigore;
- verificare che le soluzioni informatiche eventualmente sviluppate internamente per consentire lo svolgimento del lavoro a distanza siano conformi ai principi di privacy by design/by default e garantiscano la sicurezza dei dati ex art. 32 GPDR;
- verificare rigorosamente la contrattualistica e la conformità al GDPR delle soluzioni o piattaforme fornite da terzi (ad esempio, per il networking), valutando la necessità/adeguatezza di eventuali data processing agreement da sottoscrivere ai sensi dell’art. 28 del regolamento.
I precedenti punti sono strettamente collegati tra loro e necessitano si un action plan dalla logica sincretica e coordinata.