Le aziende private che vogliono continuare a svolgere l’attività lavorativa in modalità smart working anche dopo il 30 giugno 2022, dovranno adeguare – se ancora non lo hanno fatto – le loro procedure anche sotto il profilo della protezione dei dati personali, garantendo la conformità alle norme del Regolamento UE 2016/679 (“GDPR”).
Gli imprenditori dovranno, innanzitutto, svolgere una specifica analisi dei rischi, valutando attentamente:
– l’adeguato funzionamento ed aggiornamento degli strumenti tecnologici assegnati al lavoratore;
– la sicurezza dei suddetti device in dotazione al lavoratore;
– la tipologia di connessione utilizzata dal lavoratore in smart working e la conseguente sicurezza della rete utilizzata;
– l’adeguatezza dei sistemi di protezione adottati (quali, per esempio, l’antivirus), soprattutto in caso di svolgimento dell’attività lavorativa in modalità BYOD (“bring your own device“);
– l’effettiva esecuzione del backup dei dati e la loro custodia con modalità sicure;
– la necessità di svolgere una specifica sessione formativa.
In secondo luogo, gli imprenditori dovranno integrare il Registro delle attività di trattamento previsto dall’art. 30 GDPR, specificando, in particolare, quali sono le concrete misure tecniche ed organizzative poste in essere per tutelare le informazioni trattate nello svolgimento dell’attività lavorativa in smart working, come richiesto dall’art. 32 GDPR.
Tra le misure organizzative, un ruolo importantissimo rivestono, infine, le policy per il trattamento dei dati personali da parte dei lavoratori in smart working: si tratterà, cioè, di predisporre linee guida finalizzate alla riduzione e mitigazione degli specifici pericoli connessi all’attività lavorativa svolta in modalità in smart working.
La policy dovrà, tra le altre cose, prevedere:
- quali sono gli strumenti che possono essere utilizzati dal lavoratore;
- quali sono le adeguate procedure di accesso ai sistemi aziendali e di disconnessione (login e logout);
- quali regole osservare per la sicurezza di email e password;
- quali sono le modalità considerate sicure per l’accesso a internet e per la navigazione web, al fine di limitare rischi di attacchi esterni;
- quali sono le modalità che l’imprenditore ritiene sicure per la comunicazione tra dipendenti e tra dipendenti e azienda, anche al fine di evitare dispersioni di dati aziendali;
- quali sono le corrette modalità di gestione dei dati aziendali in ambito familiare, per garantire la necessaria riservatezza delle informazioni.
Le attività sopra descritte sono imprescindibili per garantire una adeguata protezione dei dati personali trattati dalle aziende e l’inottemperanza a tali adempimenti espone l’imprenditore, Titolare del trattamento, a sanzioni fino a 20 milioni di Euro (art. 83 del GDPR).