Lavorare da remoto (che non ha niente di “smart”, detto tra parentesi) è una scelta conveniente dal punto di vista dell’azienda (che può tagliare costi organizzativi e rischi anche penali), un po’ meno da quello del dipendente che, in nome di una apparente “libertà” si trova, poco a poco, in un imbarbarito isolamento, simile agli arresti domiciliari, che ne accentua il ruolo di ingranaggio anonimo di un meccanismo più grande di lui.
Al netto di questi aspetti di psicologia del lavoro – che non mi competono – rimane il fatto che l’effettiva praticabilità del lavoro a distanza è fortemente limitata da resistenze culturali come il rifiuto di accettare controlli di produttività, pur in forme che garantiscano la tutela della dignità del lavoratore (e non è certo il jobs act ad avere raggiunto questo risultato) e da norme che la burocratizzano inutilmente: basta pensare agli obblighi relativi alla “postazione di lavoro casalinga”, oppure alle interpretazioni strumentali del GDPR che tanto danno stanno facendo alla diffusione di una cultura equilibrata del trattamento dei dati personali.
L’esistenza di questa zavorra è emersa chiaramente con la necessità di ridurre lo spostamento e la vicinanza delle persone per via dell’emergenza sanitaria causata dal COVID-19. Per consentire il lavoro da remoto, infatti, è stato necessario derogare alla pletora di adempimenti imposti dalla normativa, in favore della maggiore rapidità nel mantenere le persone a casa. Ma mentre le rigidità del lavoro a distanza sono state rese più flessibili, nulla è stato fatto per quanto riguarda l’altro Moloch che affligge le aziende: l’applicazione (strumentalmente complicata da interpretazioni spregiudicate) del GDPR.
Partiamo da un presupposto: siamo – normativamente – in uno stato di emergenza. Non è ancora lo stato di pericolo pubblico di cui all’art. 214 del Testo unico delle leggi di pubblica sicurezza, ma è comunque una condizione che legittima deroghe anche forti (purchè all’interno dei principi costituzionali) alle leggi vigenti.
Ciò premesso, i datori di lavoro-titolari del trattamento hanno il dovere di adottare tutte le misure necessarie a tutelare la salute dei lavoratori anche ai sensi della normativa in materia di salute e sicurezza sui luoghi di lavoro. La “remotizzazione” delle attività, quindi, è innanzi tutto una misura che dovrebbe essere considerata all’interno del documento di valutazione dei rischi. Questo costituisce una base giuridica “forte” per valutare ogni questione di trattamento dei dati personali, che va “letta” sempre alla luce della tutela di un interesse superiore alla mera gestione di dati.
A dire il vero, però, lo stato di emergenza sanitaria – che afferisce alla categoria più generale della pubblica sicurezza – è uno dei casi nei quali il regolamento sulla protezione dei dati personali non si applica: i considerando 16 e 19 lo affermano in modo molto chiaro, come ho scritto in questo altro articolo.
Questo non significa che si possono ignorare determinate cautele in materia, per esempio, di attendibilità o disponibilità dei dati, perchè anche se non si applicasse il GDPR rimarrebbe comunque una resposabilità generale ai sensi dell’art. 2043 – se non addirittura 2050, come era nella vecchia normativa – del Codice civile.
Volendo stabilire una gerarchia degli adempimenti relativi al trattamento dei dati personali – ma in realtà alla gestione del patrimonio informativo aziendale – al primo posto sta il rispetto delle regole sulla sicurezza, mentre il resto della parte più burocratica è – francamente – da mettere in fondo alla graduatoria. Il cambio radicale dell’organizzazione interna di un’azienda, infatti, richiede sforzi economici e organizzativi non previsti nei budget e che per essere compiuti implicano necessariamente non potersi/doversi occupare di altri aspetti pur – astrattamente – rilevanti.
In questo contesto, dunque, il peso maggiore in termini di responsabilità (anche) giuridica è sulle spalle dei dipendenti. Essi hanno il dovere di rispettare le regole di sicurezza per evitare, specie con l’utilizzo di propri apparati e connettività, che il patrimonio informativo dell’azienda subisca danni da diffusione non autorizzata o indisponibilità anche temporanea. Il che implica anche la necessità, da parte del datore di lavoro, di controlli più rigorosi e stringenti su quello che passa sulla propria rete.
Se aumenta “esponenzialmente” (per una volta abuso anch’io di questa parola) il numero dei soggetti che accedono dall’esterno, aumenta anche il rischio di eventi dannosi (malware come Mimikatz sono solo uno dei tanti esempi). Dunque, è necessario adottare policy chiare che, da un lato, incrementino monitoraggi e controlli e che, dall’altro, sanzionino duramente – direi in “stile cinese” – il mancato rispetto delle regole di sicurezza. E questo, ripeto, non solo e non tanto per il rispetto dell’art. 32 del GDPR, ma per consentire l’effettiva messa in pratica delle misure di distanziamento sociale rese possibili dal lavoro remotizzato.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte