FASE 2: LO STUDIO DELL’AMMINISTRATORE ALLE PRESE CON IL “LAVORO AGILE”

Il decreto legge n. 33 dello scorso 16 maggio (www.gazzettaufficiale.it) nel consentire la ripresa di molte attività ha contemporaneamente imposto l’osservanza di una consistente, variegata e diffusa platea di prescrizioni, spesso contenute in protocolli e linee guida.

Le numerose pubblicazioni, statali e regionali, richiamano l’applicabilità del Protocollo aggiornato alla fine di aprile (www.lavoro.gov.it).

Tra le diverse misure di contenimento del contagio e di prevenzione dello stesso, ancora una volta (come nel c.d. D.L. “Cura Italia”), viene suggerita la massima adozione possibile di forme di smart working.

IL “LAVORO AGILE”, PIÙ CONOSCIUTO COME SMART WORKING

Il lavoro agile è stato introdotto nel nostro ordinamento dalla Legge n. 81 del 22 maggio 2017: si tratta di una “modalità di esecuzione del rapporto di lavoro subordinato” che favorisce “l’articolazione flessibile nei tempi e nei luoghi del lavoro” e, sempre nelle intenzioni del legislatore, incrementa la competitività e agevola “la conciliazione dei tempi di vita e di lavoro” del dipendente (art. 18, c. 1).

Non si tratta dunque di una nuova tipologia di contratto ma una diversa modalità di esecuzione del rapporto subordinato, le cui prestazioni possono essere svolte in parte all’interno della realtà datoriale e in parte all’esterno, senza una postazione fissa ma sempre entro i limiti di durata massima degli orari di lavoro, giornaliero e settimanale, previsti dalla legislazione e dalla contrattazione collettiva.

La concreta modalità di esecuzione è, inoltre, “stabilita mediante accordo tra le parti, anche con forme di organizzazione per fasi, cicli e obiettivi, senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici”.

Il datore di lavoro rimane in ogni caso “responsabile della sicurezza e del buon funzionamento” degli strumenti tecnologici “assegnati al lavoratore” per tutto “lo svolgimento dell’attività lavorativa” (art. 18, c. 2).

SMART WORKING ED EMERGENZA “CORONAVIRUS”

Il Legislatore ha introdotto una procedura semplificata rispetto a quella originariamente prevista dalla Legge n. 81 del 2017: le semplificazioni riguardano soprattutto il venir meno dell’obbligo relativo alla stipulazione di un accordo individuale per l’adesione alla modalità di lavoro agile, di norma previsto ai sensi dell’art. 18 della l. n. 81/2017. ll lavoro agile può infatti essere unilateralmente disposto dal datore di lavoro mediante una comunicazione anche inviata a mezzo email. La disposizione prevede, ad ogni modo, il rispetto dei principi dettati dalle disposizioni della L. n. 81/2017 in relazione a salute e sicurezza del lavoratore e, ovviamente anche in relazione al rispetto dei limiti massimi di durata, giornalieri e settimanali, già previsti.

La procedura è attuabile senza particolari formalità, con una autocertificazione del datore di lavoro effettuata per ogni dipendente interessato alla misura, con indicazione della data di inizio. Sul sito del Ministero è utilizzabile anche una modalità cumulativa di attivazione, attraverso il portale Cliclavoro, che consente la comunicazione di tutti i nominativi dei dipendenti per i quali è stata disposta la misura (e che avviene mediante il caricamento di un file excel).

Una ulteriore semplificazione è data dalla disponibilità, sul sito dell’Inail, di una informativa semplificata in relazione alle necessarie comunicazioni in materia di salute e sicurezza sul lavoro.

PROTEZIONE DELLE INFORMAZIONI AZIENDALI E SICUREZZA DEL DIPENDENTE NEL LAVORO AGILE

L’Amministratore che opti per tale modalità di organizzazione delle proprie risorse deve innanzitutto predisporre misure perché gli strumenti tecnologici utilizzati dal dipendente siano adeguati e sicuri. Ciò non solo per la tutela dei dati e delle informazioni dello Studio stesso, ma anche nell’ottica della sicurezza del dipendente; basti pensare alla necessità di protezione di un database di clienti o di informazioni contabili: si tratta di informazioni che devono necessariamente essere protette, non solo contro le più comuni e generalizzate vulnerabilità (e a motivo dell’aumento delle minacce rilevate dopo il diffondersi dell’emergenza), ma anche in funzione del rispetto delle norme giuslavoristiche in tema di salute e sicurezza.

Vale la pena evidenziare come sia più che opportuno rivolgersi, da un punto di vista organizzativo e pratico, verso soluzioni collaudate e professionali, che potranno fornire assistenza e competenza probabilmente già attuate in contesti aziendali maggiormente strutturati.

STRUMENTI AZIENDALI E STRUMENTI PERSONALI

Il primo e più importante aspetto di rilievo in un tale panorama è infatti la evidente differenza di soluzioni adottate con sistemi appositamente predisposti rispetto a soluzioni adottate con device, tablet, smartphone o computer personali di proprietà dei lavoratori, magari in uso a tutta la famiglia.

Se, infatti, i sistemi professionali o di Studio sono generalmente protetti e adeguatamente dotati, ad esempio, di sistemi antivirus e/o antimalware, periodicamente aggiornati, non è detto che lo siano anche i dispositivi casalinghi. Il rischio per il patrimonio informativo è evidente.

Vale la pena sottolineare come il dipendente che utilizzi un device personale per accedere da remoto ai sistemi dello Studio sia generalmente portato a trascurare aspetti di sicurezza invece essenziali: connessioni di rete (adsl, wi-fi, ecc.), parametri di accesso, password di amministrazione, aggiornamenti dei sistemi operativi, applicazioni, software, antivirus e, ancora, navigazione e accesso a siti e portali e download di programmi e file non sicuri o infetti: tutti elementi fonte di criticità evidenti.

ACCESSO

Gli esperti sottolineano come uno dei principali aspetti da considerare riguardi il controllo dell’accesso (login) al sistema, quello delle credenziali e, non per ultimo, la complessità delle password.

E’ noto come un accesso basato esclusivamente su username e password sia considerato un metodo “debole”, mentre i sistemi di autenticazione a più fattori prevengano la possibilità di furto o di smarrimento delle credenziali.

Ove non fosse possibile l’utilizzo di codici o token aggiuntivi, in grado di conferire una certa robustezza al login, dovrà quantomeno essere imposto l’utilizzo di password che abbiano un minimo di complessità, da modificarsi con una certa frequenza.

PROFILI DI AUTORIZZAZIONE

Altro argomento rilevante e connesso risiede nella attribuzione dei profili di autorizzazione all’accesso: è essenziale che il lavoratore possa accedere ed essere autorizzato alla consultazione e all’utilizzo delle sole informazioni pertinenti e necessarie allo svolgimento delle prestazioni normalmente demandategli: è necessario prevedere (se non già opportunamente stabilito) le aree, i file, le cartelle, i sistemi che possono essere consultati e utilizzati, limitando, di converso, quelli riservati ad altre funzioni, aree, settori.

CRITTOGRAFIA

Nell’ottica dell’implementazione di sistemi e metodologie di sicurezza, non può non farsi cenno alla crittografia: tra le misure richieste dal Regolamento Europeo sulla protezione dei dati, del resto, la pseudonimizzazione è una modalità di trattamento dei dati fortemente suggerita, laddove non obbligata.

Quanto a dispositivi come tablet e smartphone, v’è da dire che negli ultimi tempi i fornitori dei sistemi operativi (Ios, Android) hanno introdotto sistemi di cifratura che, collegati all’autenticazione dei dispositivi, li rendono abbastanza sicuri, ovviamente se correttamente utilizzati.

VPN

Uno degli strumenti più utilizzati per il lavoro agile è la VPN, Virtual Private Network, ossia una rete privata virtuale che garantisce sicurezza e privacy mediante un apposito canale di comunicazione riservato tra diversi dispositivi (tunnel VPN); il sistema consente anche l’interazione fra più soggetti o gruppi di lavoro dislocati in sedi differenti e di conseguenza anche una decisa riduzione di costi (ad esempio di trasferta).

POLICY DI SICUREZZA

Poiché il lavoro agile espone l’azienda a maggiori rischi “cyber”, la protezione delle informazioni deve essere rivolta sia alla sicurezza fisica delle risorse, sia alla protezione dalle minacce, intenzionali o occasionali, che provengano dall’esterno o siano procurabili, anche non intenzionalmente, dall’interno. Il riferimento, ai sensi del Regolamento Europeo già citato, è al noto acronimo R.I.D., Riservatezza, Integrità, Disponibilità.

Le aziende e gli Studi più strutturati conoscono da tempo procedure e policy in diversi settori. Per quanto riguarda il lavoro da remoto è opportuno, se non doveroso, fornire ai lavoratori (anche) una dettagliata policy che specifichi piani di lavoro, tempistiche, misure destinate a rendere gli ambienti di lavoro più sicuri e protetti. Al riguardo non è inopportuno rammentare il complesso delle disposizioni dettate dal GDPR anche in tema di “data breach”, ossia degli incidenti e, in particolare, delle violazioni riferite ai dati personali trattati: oltre all’evidente fine di scongiurare ed evitare accadimenti di tal genere è necessario che i dipendenti siano consapevoli di come comportarsi: da un lato per evitare le violazioni, dall’altro, se del caso, per reagire (come riferire, a chi riportare e come attenuare eventuali accadimenti).

SMART WORKING E PRIVACY

Una, benché limitata, disamina del lavoro agile non può non soffermarsi, almeno brevemente, su ulteriori aspetti della protezione dei dati coinvolti e applicabili in tale tipologia di prestazione dell’attività lavorativa: l’accordo, ai sensi dell’art. 19 della L. 81/2017, prevede che debbano essere determinate e specificate anche le forme di esercizio del potere direttivo del datore di lavoro e le misure tecniche e organizzative necessarie per assicurare la disconnessione dalle strumentazioni.

Anche in mancanza di accordo, peraltro, l’applicazione del lavoro “smart” dovuta all’emergenza sanitaria non fa venir meno le tutele disposte a favore del dipendente che lavora da remoto: resta dunque fermo il generale limite imposto dall’art. 4 dello Statuto dei Lavoratori pur con le modifiche introdotte dal Jobs Act e con l’ulteriore facoltà dei cc.dd. controlli difensivi; di conseguenza, rimangono illecite la installazione e l’utlilizzo di apparecchiature che consentano un controllo a distanza dell’attività svolta dal dipendente.

Nei fatti non è sempre agevole determinare se un dispositivo sia uno “strumento di lavoro” sottratto al potere di controllo datoriale: è necessario analizzare il contesto di riferimento, i software e i sistemi utilizzati. Quel che è possibile suggerire è, sostanzialmente, l’adozione di una politica di responsabilizzazione e trasparenza del datore (anche) nei confronti dei propri dipendenti, che devono essere consapevoli di quanto e come l’attività lavorativa possa essere verificata a distanza, con quali modalità, tempistiche e, non per ultimo, conseguenze disciplinari. I principi di minimizzazione, limitazione delle finalità, delle tempistiche di conservazione e, in generale, di liceità del trattamento, devono essere sempre tenuti a mente e, ancor di più, applicati nonostante il periodo emergenziale.

Merita infine ricordare che l’utilizzo di applicativi, software, device nel lavoro a distanza deve essere sottoposto ad una idonea valutazione del rischio e, ulteriormente, in quanto soluzione tecnologica che comporta il trattamento di dati dei lavoratori, alla valutazione dell’impatto che tale trattamento può avere nei loro confronti (DPIA: v. art. 35 del Regolamento Europeo 679/2016).

Andrea Broglia

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto.
2020-06-04T17:19:27+02:0004.06.2020|