Modalità semplificata di attivazione dello smart working, senza accordi individuali a rischio privacy dei lavoratori e sicurezza dati aziendali
A causa della situazione pandemica, che dallo scorso anno ha investito anche il nostro paese modificando la fisionomia del mercato del lavoro, il Governo - con il DPCM del 1 marzo 2020 - ha previsto la possibilità per i datori di lavoro di attivare, in deroga all’art. 18 della L. 81/2017, lo smart working in modalità semplificata, ovvero senza la stipula di un previo accordo individuale con il lavoratore. Tale modalità scadrà, salvo proroghe, il 30 aprile 2021. L’art. 19 del D.L. 31 dicembre 2020, n. 183 (c.d. Decreto Mille Proroghe) convertito con modificazioni in Legge 26 febbraio 2021, n. 21 ha, infatti, confermato nuovamente la procedura semplificata già adottata a marzo 2020 sino a tale data.
Questa modalità in deroga consente al datore di lavoro di attivare lo smart working mediante l’invio della lista dei lavoratori che saranno posti in lavoro agile senza – appunto - alcun accordo individuale con questi ultimi, che tenga conto delle regole previste dal Capo II, L. 81/2017 (rubricato “Lavoro Agile”).
In Commissione Lavoro della Camera è stata avanzata la possibilità di prorogare la scadenza di accesso alla procedura semplificata di attivazione dello smart working e, da quanto risulta, il Ministero del Lavoro sta già approntando il testo della proroga che, ufficiosamente, dovrebbe essere fissata per il prossimo 30 settembre 2021.
Se da un lato tale modalità ha permesso a moltissime realtà di attivare immediatamente lo smart working (salvo quanto di seguito indicato circa i dubbi che si tratti di vero e proprio lavoro agile), evitando il blocco della produzione e della continuità aziendale, dall’altro lato non sono poche le criticità che l’hanno accompagnato. In particolare, per quanto qui ci occupa, dal lato datoriale circa la garanzia dell’integrità dei dati aziendali e, dal lato dei dipendenti, circa la tutela della privacy di quest’ultimi.
Nell’accordo individuale di cui all’art. 18, L. 81/2017 vanno indicate – tra le altre cose – le modalità di esercizio del potere di controllo riservate al datore di lavoro, le strumentazioni in dotazione al dipendente, nonché le modalità di utilizzo delle stesse, così da poter effettivamente verificare se la prestazione sia avvenuta in maniera conforme a quanto previsto contrattualmente. Tale accordo permette, inoltre, una chiara e compiuta informativa sulle tecniche utilizzate dal datore di lavoro per poter monitorare l’attività lavorativa (e non anche il lavoratore).
Come sopra richiamato, durante l’ultimo anno, tuttavia, sono stati sollevati molteplici dubbi circa la effettiva natura dello smart working semplificato. In tale periodo, infatti, si è assistito ad una sorta di telelavoro, da alcuni definito come ‘home working pandemico’, che si è tradotto in una sorta di collage rudimentale di diverse modalità di esecuzione della prestazione lavorativa al di fuori del luogo di lavoro con molteplici dubbi sulla disciplina applicabile e strumentali – nonché errate – interpretazioni della norma con il preciso scopo di violare i divieti posti dalla legislazione lavoristica e di tutela della privacy.
Questo si è tradotto in una sorta di limbo in cui il rischio di violazione della privacy del lavoratore è aumentato in maniera esponenziale unitamente al rischio di data breach dei dati aziendali trattati dal prestatore di lavoro in ambienti che, potenzialmente, incrementano la vulnerabilità dei dati stessi.
Anche a livello normativo la deroga alla L. 81/2017, seppur fatte salve le tutele previste in detta normativa con riguardo al potere di controllo, in assenza di accordo individuale, nel fare rinvio allo Statuto dei Lavoratori ha creato molteplici problemi di raccordo tra discipline (Legge 81/2017, deroghe pandemiche e Statuto dei Lavoratori) non omogenee.
L’art. 4, L. 300/1970 e s.m.i. consente, infatti, al datore di lavoro non solo i c.d. controlli difensivi ma anche i controlli connessi alla tutela del patrimonio aziendale. Sicuramente i dati, considerato il loro status di asset aziendale, rientrano in quest’ultimo ambito facendo si ché il datore di lavoro possa accedere – da remoto – ai dispositivi concessi in uso al lavoratore, necessari all’espletamento dell’attività lavorativa, con la conseguente possibile violazione della privacy del prestatore di lavoro che diventa esso stesso soggetto passivo di controllo.
In questo senso merita attenzione anche il dato relativo all’incremento percentuale di richiesta relativo ai software di monitoraggio dell’attività lavorativa che vede una impennata a livello globale, con stime di crescita della richiesta del 22,6% entro il 2023 (fonte: Employee Monitoring Solution Market Research Report by Market Research Future). Sullo stesso trend viaggiano gli investimenti da parte dei colossi di internet che hanno lanciato i propri algoritmi e software per il controllo dell’attività lavorativa. Tra questi va segnalato Microsoft che, attraverso l’incrocio dei dati dei suoi software rende un ‘punteggio di produttività’ misurato in termini di tempo ed attività già definito come “l’incubo” della privacy dai ricercatori e accademici internazionali.
Ulteriore aspetto problematico che può ricondursi direttamente alla sicurezza dei dati aziendali è quello relativo alla formazione specifica, ed aggiuntiva, erogata ai lavoratori che si sono cimentanti in questa nuova modalità lavorativa, che, come è ovvio, richiede un uso sapiente della tecnologia e di misure di sicurezza informatica adeguate.
Questa formazione aggiuntiva e specifica, purtroppo, non è stata erogata come si evince dal rapporto del lavoro 2020 (Gruppo di lavoro tecnico e del Comitato d’Indirizzo dell’Accordo tra Ministero del Lavoro e delle Politiche Sociali, Istat, Inps, Inail e Anpal) il quale evidenzia che solamente il 13,4% dei datori di lavoro ha erogato formazione aggiuntiva nel periodo giugno – novembre 2020 (nel periodo marzo – maggio 2020 era del 9,2%). Questo dato denota come il personale impiegato in modalità smart working non abbia ricevuto una formazione adeguata circa i rischi connessi all’integrità dei dati aziendali, al di fuori del luogo di lavoro. Inoltre, molto spesso le piattaforme di condivisione dei dati non sono professionali e quindi ulteriormente esposte a vulnerabilità ed attacchi malevoli, come dimostrato dal Threath report 2021 di SophosLab che parla di ‘epidemiologia digitale’ dilagante senza una contro risposta adeguata.
La situazione sopradescritta conferma, come sempre più spesso sta accadendo, la centralità della figura del DPO in azienda, anche laddove tale figura non sia obbligatoria. Infatti, un addendum all’informativa privacy, un adeguamento del registro dei trattamenti, una accurata valutazione d’impatto della conversione del lavoro da tradizionale in agile ed una adeguata formazione specifica del personale (ad opera del data protection officer) avrebbero consentito e consentirebbero di ridurre i rischi di violazione della privacy, la certezza che l’integrità dei dati aziendali non sia compromessa da questa nuove modalità, nonché l’accountability aziendale.
Dunque, sarebbe auspicabile che il Governo o il Legislatore nel prorogare tali modalità in deroga prevedesse – anche se in maniera semplificata – l’obbligatorietà dell’accordo individuale quantomeno con riguardo all’esercizio del potere di controllo.
Infine, tenuto conto che è oramai è già trascorso più di un anno dall’inizio della situazione pandemica sarebbe opportuno non operare più in modalità emergenziale, bensì strutturare i processi produttivi secondo le nuove esigenze, ripensando la privacy come zoccolo duro della riorganizzazione digitale aziendale del futuro prossimo, la quale dovrà essere impostata sui principi di privacy by design e privacy by default.