1

PRIVACY E CORONAVIRUS:

Smart-Working

30 marzo 2020

2

Lo Smart-Working

Lo Smart-Working è considerato un nuovo genere di organizzazione lavorativa che permette di contemperare le necessità produttive aziendali con quelle personali dei singoli lavoratori.

La principale caratteristica dello Smart-Working è quella di garantire ampia flessibilità in termini di orario di lavoro e luogo della prestazione. L’obiettivo dello Smart-Working è infatti quello di responsabilizzare i lavoratori concedendo loro una maggior autonomia organizzativa nell’ambito di un livello di performance (generalmente) concordato con il datore.

Lo Smart-Working, pertanto, differisce dal Telelavoro il quale non è una modalità di organizzazione lavorativa flessibile, prevedendo unicamente la sostituzione della postazione di lavoro in azienda con una in ambito domestico.

3

La situazione normativa in Italia

Il quadro normativo dello Smart-Working è stato definito dalla Legge 22 maggio 2017, n. 81 la quale dispone, in estrema sintesi, che:

• lo Smart-Working rientra nell’ambito del lavoro subordinato;

• ai fini dell’attivazione dello Smart-Working è necessario un accordo scritto tra datore di lavoro ed il dipendente (il quale, peraltro, deve indicare alcuni elementi minimi quali, ad esempio, la durata dell’accordo e le forme di esercizio del potere direttivo del datore);

• la prestazione in Smart-Working deve rientrare entro i limiti di durata massima dell’orario indicati da legge o da contrattazione collettiva e può essere resa senza precisi vincoli di orario compatibilmente con l’organizzazione del lavoro;

• i datori di lavoro devono garantire il diritto alla disconnessione del lavoratore; e

• deve essere fornita i lavoratori in Smart-Working un’informativa relativa ai rischi generici e specifici connessi allo modalità di esecuzione del rapporto di lavoro.

4

La situazione in Italia

L’utilizzo dello Smart-Working, nel mercato italiano, è stato accolto positivamente da parte delle imprese di maggiori dimensioni le quali hanno introdotto tale modalità organizzativa al fine di incrementare i sistemi di welfare (maggiore flessibilità in alcuni giorni) a fronte di una riduzione dei costi sia aziendali (es. buoni pasto se erogati in ragione della prestazione lavorativa in sede) che per lo stesso lavoratore (es. costi di trasporto).

Con il progredire della pandemia causata dal Covid-19 il legislatore ha individuato nel sistema dello Smart-Working uno strumento di contenimento dell’emergenza, permettendo infatti al lavoratore di operare non entrando in contatto fisico con i colleghi.

È stata pertanto introdotta la possibilità di applicare lo Smart-Working anche senza la previa sottoscrizione di un accordo individuale nonché utilizzando una procedura semplificata per l’invio delle comunicazioni amministrative.

5

La situazione in Italia

Benché lo Smart-Working sia il sistema consigliato dal legislatore per fronteggiare l’emergenza Covid-19, in ragione della sua estrema flessibilità, in molti casi, non è ritenuto il metodo di organizzazione migliore e più affidabile per garantire il corretto svolgimento dell’attività aziendale (ad es. con riferimento ai lavoratori che devono eseguire la propria prestazione da una postazione fissa da remoto predisposta dal datore sarebbe meglio applicare il Telelavoro).

Inoltre, a seguito dell’emergenza Covid-19, molti lavoratori hanno iniziato a operare senza accordo ed in assenza della preventiva individuazione di precisi obiettivi lavorativi. Pertanto, risulta opportuno per i datori che non hanno sottoscritto un accordo individuale, predisporre ed inviare ai propri dipendenti in regime di Smart-Working una sintetica indicazione dei principali obblighi, delle regole di comportamento da seguire e, se del caso, delle prestazioni che dovranno svolgere e le fasce di reperibilità da seguire al fine di garantire una corretta esecuzione dell’attività lavorativa.

6

La tutela del lavoratore

I datori di lavoro possono controllare l’attività svolta dai propri dipendenti in regime di Smart-Working?

L’art. 21 della Legge 81/2017 prevede che l’accordo relativo alla modalità di lavoro in Smart-Working disciplini l'esercizio del potere di controllo del datore di lavoro sulla prestazione resa dal lavoratore all'esterno dei locali aziendali nel rispetto di quanto disposto dall'articolo 4 della Legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori).

L’obbligo di rispettare l’art. 4 SL stabilito nella Legge 81/2017 impone il divieto del controllo a distanza del lavoratore a meno che sia posto in essere per (i) esigenze organizzative e produttive, (ii) per ragioni di sicurezza e (iii) per tutela del patrimonio aziendale. Inoltre affinché possa essere applicato tale controllo deve essere previamente sottoscritto un accordo sindacale ovvero ottenuta un’autorizzazione amministrativa.

7

La tutela del lavoratore

Con riferimento al caso dei lavoratori in regime di Smart-Working, a seguito dell’emanazione delle norme in tema di contenimento del Covid-19, le ragioni poste a fondamento di un controllo datoriale potrebbero essere connesse a esigenze organizzative e produttive nonché per la tutela del patrimonio aziendale (es. dati dei clienti, dati finanziari).

Pertanto ai sensi dell’art. 4 SL il datore che intendesse porre in essere dei controlli nei confronti del suoi dipendenti dovrebbe sottoscrivere un accordo sindacale indicando le predette ragioni.

Inoltre, ai sensi della predetta norma, le informazioni raccolte potrebbero essere utilizzate a tutti i fini connessi al rapporto di lavoro (compresi quelli disciplinari) a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dalla normativa privacy.

8

La tutela del lavoratore L’art. 4 SL, al comma 2, tuttavia, prevede la non necessità dell'accordo sindacale (ovvero dell’autorizzazione amministrativa) qualora il controllo sia svolto sugli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e sugli strumenti di registrazione degli accessi e delle presenze, fatta salva tuttavia l’informativa sulle modalità d'uso degli strumenti e di effettuazione dei controlli.

Tale previsione non significa che il datore di lavoro possa applicare indiscriminati sistemi di controllo a distanza utilizzando gli strumenti aziendali concessi al lavoratore in Smart-Working, dovendo in questo caso sottostare a quanto disposto in tema privacy dalla normativa europea (GDPR) ed italiana. L’uso delle tecnologie digitali, infatti, se da un lato consente di ovviare alle misure restrittive imposte dalla recente quarantena, dev’essere fatto con le dovute cautele e garanzia per i dati degli interessati ancor più se posto in essere in un momento di emergenza come quello attuale.

9

La tutela del lavoratore

Eventuali software di monitoraggio devono essere espressamente indicati al lavoratore, e lo stesso dovrà obbligatoriamente ricevere dal proprio datore di lavoro adeguate informazioni in merito ai software installati sul proprio dispositivo. Il trattamento dei dati dovrà sempre ispirarsi ai principi cardine del GDPR:

• Correttezza: ovviamente il trattamento dev’essere svolto nel rispetto della normativa ed essere legittimo, sia sotto il profilo della base giuridica che delle modalità;

• Pertinenza e non eccedenza (minimizzazione): i dati trattati dovranno essere necessari per le finalità del trattamento stesso. In secondo luogo non dovranno essere trattati dati che non siano essenziali per il controllo del lavoratore.

10

La tutela del lavoratore

In particolare occorre chiedersi:

• I dispositivi elettronici forniti sono essenziali per lo svolgimento dell’attività lavorativa?

• I software di monitoraggio dell’attività sono essenziali per la miglior resa della prestazione del lavoratore?

• È stato correttamente indicato al lavoratore il funzionamento degli strumenti e degli eventuali monitoraggi?

Dovrebbero essere privilegiate le misure meno invasive, in modo da bilanciare le esigenze lavorative con gli interessi del lavoratore (è diventato famoso lo scandalo di Amazon, quando ha cercato di introdurre i famosi «braccialetti elettronici»).

11

La tutela degli interessati

In secondo luogo è necessario predisporre adeguate tutele a protezione dei dati personali dei clienti/fornitori.

I dati personali, infatti, normalmente «protetti» all’interno dell’azienda, sia fisicamente che virtualmente, sono più facilmente aggredibili nel momento in cui venga adottato il «lavoro agile».

Gli stessi, infatti, potrebbero essere rubati, venire accidentalmente persi, subire accessi abusivi o diffusioni non volute (si pensi alla furto di un portatile aziendale, o al suo smarrimento).

Ai fini dell’art. 32 GDPR, e quindi dell’adozione delle misure di sicurezza, occorre che il titolare dei dati si attivi in modo adeguato al tipo di dati trattati.

12

La tutela degli interessati

Innanzitutto occorre formare adeguatamente il personale sia all’utilizzo dei dispositivi (formazione tecnologica) che sulle norme di buon utilizzo quando ci si trova al di fuori dell’azienda.

In secondo luogo valgono tutte le buone regole che dovrebbero comunque essere adottate sull’ambiente di lavoro per la protezione dei dati:

• Dotare di password ogni dispositivo, e rendere la password a scadenza periodica;

• Installare sempre gli aggiornamenti di SO e di sicurezza;

• Conservare i dati personali su un server o comunque protetto da antivirus e firewall;

• Non salvare documenti essenziali sul desktop ma unicamente sui server o nei luoghi protetti;

13

La tutela degli interessati

• Anche la connessione tra il dispositivo del lavoratore e il luogo di lavoro (nella maggior parte dei casi una VPN) dovrebbe essere di alta sicurezza e criptata, in modo da essere immune ad attacchi informatici.

• Sarebbe altresì opportuno far sottoscrivere al lavoratore un’apposita autorizzazione al trattamento dei dati in modalità «smart working», in ottemperanza agli articoli 4, 29, 32 e 39 del GDPR, correlate da specifiche istruzioni sull’utilizzo del dispositivo fornito al lavoratore.

• Laddove le misure di smart working siano state adottare in concomitanza con l’emergenza coronavirus, occorrerà fornire a ciascun lavoratore credenziali univoche per l’accesso da remoto, e cercare di fornire una connessione stabile e protetta.

14

Provvedimenti del Garante

• Il 9 gennaio 2020 il Garante ha sanzionato TIM a seguito di un reclamo inoltrato dalle associazioni sindacali dei lavoratori. Oggetto del reclamo era il software tramite il qualità la società monitorava l’attività dei tecnici «on fields», ritenuto lesivo della privacy dei lavoratori;

• Tra i profili di illegittimità riscontrati dal Garante c’è un’irregolarità nell’informativa fornita ai dipendenti, che ometteva di fornire l’esatto periodo di conservazione dei dati, nonché l’illegittimità del periodo stesso di conservazione;

• Oltre all’ordinanza ingiunzione relativa alla limitazione dei trattamenti svolti e all’adeguamento dell’informativa all’art. 13 del regolamento, il Garante ha sanzionato TIM per € 900.000 (in considerazione della gravità delle violazioni) con pubblicazione del provvedimento sul sito del Garante.

15

Provvedimenti del Garante

• Il 23 gennaio 2020 il Garante ha sanzionato Azienda Ospedaliero Universitaria Integrata di Verona, nonostante quest’ultima avesse notificato, ex art. 33 GDPR la violazione dei dati personali di propria titolarità;

• È stato accertato, infatti, che alcuni dipendenti dell’Azienda, utilizzando una postazione lasciata incustodita da un medico, erano entrati nei dossier sanitari dei propri colleghi, in modo del tutto illegittimi;

• Gli accertamenti svolti dal Garante hanno evidenziato che le misure tecniche e organizzative adottate dall’ospedale non si erano dimostrate idonee ad assicurare una adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati;

• Per tali motivi, l’Azienda è stata sanzionata per € 30.000, in quanto avrebbe dovuto vigilare in modo più responsabile sui dati di propria titolarità.

16

Raccomandazioni pratiche

Alla luce delle brevi indicazioni fornite nelle slide che precedono, ai datori di lavoro che in ragione dell’epidemia da Covid-19 sono stati costretti ad implementare con urgenza un sistema di Smart-Working, si consiglia di:

1. qualora non sia stato sottoscritto un accordo di Smart-Working ai sensi della L. 81/2017, inviare ai dipendenti in regime di lavoro agile una sintetica descrizione dei principali diritti e obblighi dei lavoratori in Smart-Working nonché delle attività da svolgere;

2. predisporre e inviare ai dipendenti un’informativa in merito all’utilizzo degli strumenti informatici concessi per lo svolgimento della relativa attività lavorativa nonché indicante le eventuali modalità di controllo degli stessi;

3. predisporre e inviare ai dipendenti un atto di autorizzazione al trattamento dei dati personali raccolti durante il periodo di lavoro agile, nonché un’informativa relativa al trattamento dei dati.

I predetti documenti dovranno essere inviati attraverso un sistema tracciabile (es. email) e dovranno essere sottoscritti dai dipendenti.

17

OUR TEAM IS AVAILABLE FOR ANY ADVICE AND CLARIFICATION

FILIPPO MONTANARI GIULIA VERGA ENRICO STORARI

Associate Partner Partner

Verona Verona Verona

Tel. +39.045.8010911 Tel. +39.045.8010911 Tel. +39.045.8010911

f.montanari@macchi-gangemi.com g.verga@macchi-gangemi.com e.storari@macchi-gangemi.com

MARCO LANZANI ELISA NOTO FILIPPO BODO

Partner Partner Associate

Milan Rome Milan

Tel. +39.02.763281 Tel. +39.06.362141 Tel. +39.02.763281 m.lanzani@macchi-gangemi.com e.noto@macchi-gangemi.com f.bodo@macchi-gangemi.com

Le informazioni contenute in questo documento, aggiornate alla data di copertina, sono da considerarsi indicative e non costituiscono né possono sostituire un parere legale. MdCG non si assume alcuna responsabilità per il contenuto e la correttezza del documento.

18

00197 ROMA 20122 MILANO 37121 VERONA

Via G. Cuboni, 12 Via G. Serbelloni, 4 Via G. Garibaldi, 17

Tel +39.06.362141 Tel +39.02.763281 Tel +39.045.8010911

Fax +39.06.3222159 Fax +39.02.76001618 Fax +39.045.8036516

roma@macchi-gangemi.com milano@macchi-gangemi.com verona@macchi-gangemi.com

75008 PARIGI SW1Y4JS LONDRA

38, Avenue Hoche 33, St. James’s Square

Tel +33 (0) 1.53757900 Tel + 44 (0) 20 3709 6000

Fax +33 (0) 1.5375001 Fax + 44 (0) 20 3709 6014

paris@macchi-gangemi.com london@macchi-gangemi.com

LE NOSTRE SEDI