Il 13 Agosto 2022 è entrato in vigore il D.Lgs. 104/2022 recante “Attuazione della direttiva (UE) 2019/1152 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea”, che ha modificato l’articolato del D.Lgs. 152/1997 introducendo a carico del datore di lavoro nuovi adempimenti.
In particolare, il decreto disciplina il diritto all’informazione circa gli elementi essenziali relativi al rapporto di lavoro e le modalità di comunicazione, che dovrà essere, per espressa definizione, “chiaro” e “trasparente”.
Si impongono, quindi, nuovi obblighi informativi. Tra i vari, l’obbligo datoriale di informare i lavoratori, all’atto dell’assunzione, circa il luogo di lavoro in cui presteranno le proprie mansioni.
Tema che, evidentemente, si allinea con lo smart working, che, come noto, ha contribuito a erodere l’identificazione del luogo di lavoro con l’azienda ed il centro produttivo. Infatti, stando alla novella legislativa, il datore di lavoro sarà tenuto ad informare il dipendente, in formato cartaceo o elettronico, circa le regole di erogazione delle prestazioni in smart working, rispettando la normativa giuslavoristica e ad indicare e rendicontare, da un lato, le regole e le misure di sicurezza utili a proteggere i dati trattati dall’incaricato e, dall’altro, i dati del dipendente in modalità “lavoro agile”.
Ai maggiori oneri informativi corrispondono, tuttavia, altrettanti problemi in termini di tutela della privacy, intesa sia come tutela dei dati trattati dai dipendenti che prestano la loro attività lavorativa al di fuori delle mura aziendali, sia quale protezione della riservatezza del dipendente stesso che, pur inconsapevolmente, trasforma la propria abitazione in workplace.
Si legge infatti nella novella che “Il datore di lavoro o il committente sono tenuti a integrare l'informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l'aggiornamento del registro dei trattamenti riguardanti le attivita' di cui al comma 1, incluse le attivita' di sorveglianza e monitoraggio”.
Prendendo in considerazione, infatti, le informazioni relative al dipendente in smart working e le misure di sicurezza che questi dovrà mettere in atto, si aprono potenziali profili problematici ed operativi.
Sul primo versante, il titolare si troverà a trattare nuovi e più dati del dipendente in smart working, quali a titolo esemplificativo: gli indirizzi e i luoghi da cui egli opererà; le specifiche tecniche sullo stato dei sistemi tecnologici di appartenenza del lavoratore in caso sia richiesta una certa capacità funzionale (traffico di rete, velocità, latenza, provider…) da parte dell’azienda; o anche l’accesso ai dati di fatturazione delle utenze telefoniche o energetiche, nel caso in cui il datore si impegni al rimborso delle relative spese e così via in base alle particolarità delle mansioni da effettuare da remoto.
Sul secondo versante, il lavoratore che opera in smart working, oltre alle misure di sicurezza fornite in virtù di “autorizzati” al trattamento ex art. 29 GDPR, potrebbe essere tenuto a dover implementare personalmente ulteriori misure di prevenzione dei rischi a presidio dei dati trattati, individuate e previste dal datore. Si potrà prevedere, ad esempio, che il luogo di lavoro abbia caratteristiche tali da garantire la riservatezza delle informazioni trattate e, quindi, potrà essere fatto divieto di lavorare in luoghi pubblici o con connessioni pubbliche, soggette ad attacchi cibernetici; analogamente, il dipendente potrà essere obbligato ad utilizzare solo strumentazione fornita dall’organizzazione aziendale (reti VPN; pc aziendali…) ed altri ancora.
Appaiono dunque chiare le implicazioni in tema di privacy a cui i titolari e responsabili del trattamento dovranno porre presto far fronte attraverso necessarie misure di accountability. Senza contare, peraltro, le connesse problematiche operative relative alla necessità di garantire adeguate misure di cybersecurity.
Alessandro Carlini
