Smart working: in forte aumento la richiesta di software di controllo remoto dell’attività lavorativa dei dipendenti; questa necessità post-pandemica (o quasi) non tenderà a diminuire durante i prossimi anni. Come evitare sanzioni e rispettare il diritto alla privacy dei propri dipendenti?
La pandemia affligge le economie mondiali ormai da due anni e molti aspetti della normalità a cui eravamo tutti abituati hanno subito notevoli mutazioni; uno dei settori che ha saputo sfruttare l’occasione è certamente il mercato digital e relativo ai prodotti di cyber security, protagonista di una vera a propria rivoluzione che ha trasformato e sta tutt’ora trasformando il mondo del lavoro. Per sopravvivere alle numerose restrizioni ed ai lock-down, infatti, moltissime imprese sono state costrette a modificare le proprie abitudini e dotarsi di nuovi sistemi che rendessero possibile lo svolgimento delle normali attività lavorative da postazioni remote. Contestualmente a tale tendenza, inoltre, si è registrata una parallela crescita della richiesta di strumenti di protezione di reti e sistemi, oggi maggiormente esposti a nuovi rischi ed attacchi informatici.
I report delle principali software house statunitensi che sviluppano e commercializzano sistemi di controllo e sicurezza dei sistemi e delle reti, infatti, parlano chiaro: l’aumento esponenziale della richiesta di queste tipologie di programmi ha raggiunto livelli considerevoli (+71% in un anno) e non smette tutt’ora di aumentare.
Quali risvolti potrebbe avere l’implementazione di questi programmi sulla privacy dei lavoratori?
Spesso, l’utilizzo non disciplinato di sistemi legati al settore della sicurezza delle informazioni potrebbe comportare un’effettiva attività di controllo sull’operato dei lavoratori e, di conseguenza, minare gravemente la loro privacy.
Tra i principali software attualmente in commercio, i più richiesti sono proprio quelli che tra le varie funzionalità consentono di: acquisire il controllo remoto del dispositivo, monitorare lo schermo e la navigazione web dell’utente, attivare la videocamera ed il microfono all’insaputa di chi possiede il device, monitorare gli account E-Mail aziendali.
Certamente alcune delle funzionalità poc’anzi richiamate potrebbero essere giustificate da esigenze diverse e del tutto lecite come, ad esempio, per garantire celerità ed efficacia agli interventi di assistenza remota da parte del personale IT. E, del resto, siamo tutti consapevoli del recente aumento del numero degli attacchi informatici lanciati a danno delle imprese, sempre più spesso costrette a ricorrere all’intervento di operatori altamente specializzati o contrariamente a soccombere a richieste di riscatto e pagamento di cospicue somme di denaro (o cripto valuta) per poter rientrare in possesso dei propri dati.
Qual è il confine tra la necessità di tutelare i propri sistemi da attacchi informatici o dall’imperizia dei propri collaboratori senza attuare a tutti gli effetti un controllo sul loro operato?
I sistemi di controllo aventi il mero scopo di monitorare a distanza l’attività lavorativa del dipendente non sono ammessi, né sul luogo di lavoro né qualora l’attività sia svolta in un luogo remoto; resta tuttavia la possibilità per l’impresa di adottare procedure e strumenti che garantiscano la sicurezza delle reti e dei dati in essa contenuti (sul tema l’IFPDT ha pubblicato una guida, intitolata: “Misure per un impiego sicuro delle soluzioni di audio e videoconferenza”).
Del resto anche l’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) si è recentemente espresso sul tema e, a fronte di un considerevole aumento delle segnalazioni di presunte violazioni privacy ricevute durante gli ultimi 12 mesi, ha affermato che l’implementazione di taluni sistemi di cyber-security potrebbe essere lecita purché vengano rispettate la Legge federale sulla protezione dei dati nonché le prescrizioni in materia di diritto del lavoro e del codice civile svizzero.
Nonostante la crescente attenzione che le Autorità stanno attualmente dimostrando, tuttavia, il confine tra la liceità e l’illiceità di alcune particolari tipologie di trattamento appare spesso molto labile, condizione altresì alimentata dall’inadeguatezza dell’attuale normativa, ancora molto arretrata dal punto di vista “tecnologico” per poter essere applicata senza esitazione. In attesa, dunque, di una disciplina più chiara e trasparente, occorre prestare molta attenzione onde evitare di incorrere in possibili sanzioni.
Il telelavoro che si realizzi al di fuori dei confini nazionali, comporta una effettiva comunicazione di dati all’estero?
L’Incaricato federale per la protezione dei dati e della trasparenza ha precisato, all’interno del 28° Rapporto d’attività 2020/21, che il telelavoro, anche se effettuato al di fuori dei confini nazionali, non sempre costituisce a tutti gli effetti un trasferimento di dati all’estero.
Accedere ai server aziendali attraverso una rete VPN – Virtual Private Network, infatti, non comporta alcun trasferimento di dati qualora a farlo sia un lavoratore, a prescindere che quest’ultimo si trovi a casa propria, nel luogo di villeggiatura o all’estero. Indifferentemente dalla sua ubicazione, dopotutto, ciò che rileva è un trattamento di dati personali non dissimile da quanto si realizzerebbe qualora il lavoratore si trovasse fisicamente presso gli uffici dell’impresa.
Per garantire la massima correttezza e trasparenza, in ogni caso, il datore di lavoro intenzionato ad utilizzare particolari soluzioni software in grado di monitorare l’attività dei propri lavoratori, sarà chiamato a:
- scegliere soluzioni software che rispettino i principi sanciti dalla Legge federale sulla protezione dei dati (LPD), garantendo, ad esempio, la proporzionalità degli interventi e delle attività di controllo rispetto alla reale necessità di tutela e protezione;
- informare tutti i lavoratori dell’attivazione di tali strumenti;
- definire ruoli e responsabilità connessi all’implementazione ed alla gestione dei sistemi;
- vigilare affinché le informazioni acquisite vengano utilizzate lecitamente;
- verificare e regolamentare eventuali flussi di dati personali trasferiti verso paesi esteri.
Quelli sopra elencati sono dei piccoli accorgimenti basilari per assicurare la trasparenza, ma per aumentare la sicurezza dell’infrastruttura informatica della tua impresa senza violare la privacy dei tuoi dipendenti è fondamentale avere un supporto che indichi punti chiave per rispettare al meglio la nuova Legge Federale sulla protezione dei dati (LPD).
Articolo a cura di Luca Ostachowicz | Data Protection Consultant, Privacy Desk Suisse
