Smart working: quali adempimenti privacy prevede il nuovo Protocollo nazionale?

Lo scorso 7 dicembre Governo e parti sociali hanno sottoscritto il Protocollo nazionale sul lavoro in modalità agile nel settore privato. L’accordo prevede numerosi adempimenti in materia privacy, focalizzando l'attenzione sulla disciplina della security quale presupposto necessario all'attuazione delle modalità di lavoro agile.

In particolare, con riguardo allo strumento utilizzato dal lavoratore per rendere la prestazione lavorativa, il Protocollo lascia alla discrezionalità delle parti la scelta dello stesso e, quindi, la decisione di utilizzare uno strumento aziendale o di proprietà del lavoratore. Si intende da prediligere, tuttavia, la prima opzione.

Con riguardo alla protezione dei dati personali e alla riservatezza, il datore di lavoro:

- adotta tutte le misure tecnico-organizzative adeguate a garantire la protezione dei dati personali dei lavoratori in modalità agile e dei dati trattati da questi ultimi;

- applica quanto previsto dalla normativa vigente sul trattamento dei dati personali e, in particolare,

dal GDPR;

- informa il lavoratore agile in merito ai trattamenti dei dati personali che lo riguardano, anche nel rispetto di quanto stabilito dallo Statuto dei lavoratori in materia di impianti audiovisivi e altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori. In particolare, il datore di lavoro deve valutare la natura degli strumenti assegnati ai lavoratori e comprendere se i classici strumenti di lavoro quali hardware, pc o smartphone abbiano applicativi aggiuntivi tali da delineare anche la mera possibilità di controllo. È, infine, confermato che le informazioni così raccolte sono utilizzabili solo se sia data al lavoratore adeguata pubblicità sulle modalità d'uso degli strumenti e su quelle dei controlli. Al fine di verificare che gli strumenti utilizzati per il lavoro in modalità agile siano conformi ai principi di privacy - by design e by default, è sempre raccomandata l’esecuzione di valutazione d’impatto dei trattamenti richiesta dal GDPR;

- promuove l’adozione di policy aziendali basate sul concetto di security by design, che prevedono la gestione dei data breach e l’implementazione di misure di sicurezza adeguate che comprendono, a titolo meramente esemplificativo, se del caso la crittografia, l’adozione di sistemi di autenticazione e VPN, la definizione di piani di backup e protezione malware. Il datore di lavoro favorisce iniziative di formazione e sensibilizzazione dei lavoratori sia sull’utilizzo, custodia e protezione degli strumenti impiegati per rendere la prestazione, sia sulle cautele comportamentali da adottare nello svolgimento della prestazione lavorativa in modalità agile, compresa la gestione dei data breach.