Posted on

Lavoro agile e nuova privacy

Il lavoro agile o smart working ha avuto solo di recente l’istituzionalizzazione normativa nella legge 81/2017 (nota anche come Jobs act degli autonomi).

Il nuovo regolamento europeo sulla privacy  679/2016 da poco entrato in vigore , richiede una particolare attenzione da parte del datore di lavoro  in materia di protezione dei dati cui il lavoratore ha accesso dal luogo di lavoro fuori dall’azienda . Come noto infatti lo smart working prevede la possibilità di svolgere le prestazioni lavorative non solo a casa ma in qualsiasi luogo scelto dal dipendente ,  quindi anche in luoghi pubblici,  con una crescita rilevante del rischi di diffusione indebita dei dati aziendali.

Il DPO, nelle grandi aziende obbligate alla sua nomina, o il datore di lavoro  resposanbile del  trattamento dei  dati  o  il suo incaricato dovranno dunque  mettere a punto un sistema di condivisione dei dati che tenga in debito conto tali rischi e conto, oltre che del piu generale principio di minimizzazione  dei dati ex art. 5  del Regolamento.

In base al Regolamento (articolo 32), la scelta dei sistemi di sicurezza  va comunque commisurata all’entità dei rischi. Per evitare sanzioni , il titolare dovrà dimostrare di aver previsto accorgimenti adeguati per valutare e scongiurarli. Gli esperti del Sole 24 ore hanno messo  a punto una interessante check list  delle principali criticità in questa materia:

  • I dispositivi informatici (PC, tablet e smartphone) utilizzati dovranno essere configurati con particolare attenzione, sia nel caso siano di proprietà dell’azienda che del lavoratore , con adeguati  software antivirus, certificati e con  backup periodico  connesso al server centrale aziendale. Ciò vale sicuramente per i Pc portatili, ma anche per tablet e smartphone.  Il sistema deve essere configurato in modo pero da non  controllare l’attività del lavoratore, vietata dallo Statuto dei Lavoratori,  se non nell’interesse concreto della protezione dei dati dei clienti Per questo il lavoratore deve essere attentamento informato sulla policy aziendale in questa materia
  • Sempre in considerazione del principio di minimizzazione dei dati è opportuno che  l’azienda si doti di un sistema per impedire allo smart worker di visualizzare ed entrare in contatto con le informazioni non pertinenti con lo svolgimento delle proprie mansioni.
  • Il sistema di autenticazione dovrebbe comprendere due passaggi e non semplicemente una password. L’autenticazione a due fattori  si puo realizzare con un sistema di codici via sms sul telefono mobile o l’uso di chiavette (token Usb) o smart card, coem spesso succede per mi servizi di home banking, che consente una verifica dell’identita di chi accede ai dati aziendali .
  • Se computer o smartphbone vengano  smarriti o siano oggetto di accesso da parte di terzi , il lavoratore deve ovviamente darne immediata comunicazione al datore di lavoro che, come titolare del trattamento dei dati personali , è chiamato a notificare l’avvenuta violazione al Garante entro 72 ore dalla conoscenza del fatto e deve comunicarla senza ingiustificato ritardo agli interessati (articoli 33 e 34 del Regolamento)
  • Nel caso si verifichino  effettivamente violazioni dei dati personali di un soggetto da parte del lavoratore “agile “o di terzi, il datore di lavoro risponde  dei danni anche civilisticamente . Le sanzioni per inadeguatezza delle misure di sicurezza  possono arrivare a  10 milioni di euro. 
Posted on

Privacy per i professionisti: rassicurazioni sul nuovo regolamento

Nuovo regolamento europeo sul trattamento dei dati personali attuativo dal 25 maggio 2018. Dalla prossima settimana sarà infatti pienamente attuativo il GDPR, il nuovo regolamento europeo sulla privacy, che ha causato non pochi scetticismi e dubbi tra i professionisti. Una rassicurazione in tal senso è stata fornita da Augusta Iannini, vicepresidente del Garante privacy, intervenendo ieri a un forum organizzato dalla Fondazione studi e dal Consiglio nazionale dell’Ordine dei consulenti del lavoro, che ha sottolineato come:

  • l’entrata in vigore del testo non comporterà conseguenze per i singoli professionisti e gli studi di piccole dimensioni
  • se invece lo studio professionale è di grandi dimensioni e ha rapporti in ambito internazionale, si deve verificare se è il caso di dotarsi di un data protection officer, tenuto conto dell’attività svolta nel rispetto dell’accountability;
  • se il professionista opera come associato o in una società tra professionisti è quest’ultimo soggetto a dover valutare quali misure adottare.

Si ricorda infatti che il maggior cambiamento contenuto nel GDPR riguarda l’accountability, o “responsabilizzazione” di titolari e responsabili cioè “l’adozione di comportamenti attivi che dimostrino la concreta adozione di misure finalizzate alla corretta applicazione del regolamento privacy”. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. Anche la designazione di un “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/responsabile.

per approfondire: https://www.fiscoetasse.com/rassegna-stampa/25145-privacy-per-i-professionisti-rassicurazioni-sul-nuovo-regolamento.html