Posted on

Controllo a distanza: serve il DVR per l’autorizzazione

Per ottenere l’autorizzazione dell’Ispettorato all’utilizzo di sistemi di controllo a distanza ai sensi dell’art. 4 della legge n. 300/1970,  motivati da  esigenze di “sicurezza del lavoro” si dovrà allegare il DVR in cui siano evidenziati i rischi in questo senso. E’ l’importante chiarimento fornito dall’Ispettorato nella lettera circolare  del 18 giugno 2018 , con  risponde alle numerosi richieste ricevute dagli uffici territoriali.

Come noto i sistemi di controllo a distanza  che consentano la verifica puntuale dell’attività dei dipendenti in generale sono vietati dallo Statuto dei lavoratoria motivo della salvaguardia della dignità e della privacy dei lavoratori stessi . Sono previste deroghe che vanno autorizzate dall’Ispettorato nazionale del lavoro , oppure possono essere concordate con le rappresentanze sindacali, per ragioni di sicurezza nel luogo di lavoro (come nel caso tipico delle telecamere negli istituti bancari contro eventuali rapine), come anche per specifiche esigenze di organizzazione e ottimizzazione delle attivit.
Il documento dell’ispettorato precisa che  in questi casi quello che viene valutato sono le motivazioni che giustificano e legittimano l’utilizzo di strumenti dai quali derivi la possibilità di controllo a distanza dei lavoratori  e anche la correlazione tra le modalità di impiego e le finalità dichiarate.

Molto meno rilevanti sono invece le caratteristiche tecniche  degli strumenti utilizzatia questo fine.

L’ispettorato richiede dunque che le esigenze di “sicurezza del lavoro”,  siano  adeguatamente illustrate nella richiesta di autorizzazione e  si debba evidenziare puntualmente come  gli impianti audiovisivi  possano risolvere tali problemi.

Inoltre l’ispettorato sottolinea come le problematiche di rischio debbano trovare  “adeguato riscontro nell’attività di valutazione dei rischi effettuata dal datore di lavoro e formalizzata nell’apposito documento (DVR)”e conclude  dunque che :

 l’istanza rivolta alle strutture territoriali e all’Ispettorato nazionale (per le imprese plurilocalizzate) dovrà essere corredata dagli estratti del documento di valutazione dei rischi, dai quali risulti  che l’installazione di strumenti di controllo a distanza è misura necessaria ed adeguata per ridurre i rischi di salute e sicurezza cui sono esposti i lavoratori.”

Fonte: https://www.fiscoetasse.com/rassegna-stampa/25299-controllo-a-distanza-serve-il-dvr-per-l-autorizzazione-.html

Posted on

Lavoro agile e nuova privacy

Il lavoro agile o smart working ha avuto solo di recente l’istituzionalizzazione normativa nella legge 81/2017 (nota anche come Jobs act degli autonomi).

Il nuovo regolamento europeo sulla privacy  679/2016 da poco entrato in vigore , richiede una particolare attenzione da parte del datore di lavoro  in materia di protezione dei dati cui il lavoratore ha accesso dal luogo di lavoro fuori dall’azienda . Come noto infatti lo smart working prevede la possibilità di svolgere le prestazioni lavorative non solo a casa ma in qualsiasi luogo scelto dal dipendente ,  quindi anche in luoghi pubblici,  con una crescita rilevante del rischi di diffusione indebita dei dati aziendali.

Il DPO, nelle grandi aziende obbligate alla sua nomina, o il datore di lavoro  resposanbile del  trattamento dei  dati  o  il suo incaricato dovranno dunque  mettere a punto un sistema di condivisione dei dati che tenga in debito conto tali rischi e conto, oltre che del piu generale principio di minimizzazione  dei dati ex art. 5  del Regolamento.

In base al Regolamento (articolo 32), la scelta dei sistemi di sicurezza  va comunque commisurata all’entità dei rischi. Per evitare sanzioni , il titolare dovrà dimostrare di aver previsto accorgimenti adeguati per valutare e scongiurarli. Gli esperti del Sole 24 ore hanno messo  a punto una interessante check list  delle principali criticità in questa materia:

  • I dispositivi informatici (PC, tablet e smartphone) utilizzati dovranno essere configurati con particolare attenzione, sia nel caso siano di proprietà dell’azienda che del lavoratore , con adeguati  software antivirus, certificati e con  backup periodico  connesso al server centrale aziendale. Ciò vale sicuramente per i Pc portatili, ma anche per tablet e smartphone.  Il sistema deve essere configurato in modo pero da non  controllare l’attività del lavoratore, vietata dallo Statuto dei Lavoratori,  se non nell’interesse concreto della protezione dei dati dei clienti Per questo il lavoratore deve essere attentamento informato sulla policy aziendale in questa materia
  • Sempre in considerazione del principio di minimizzazione dei dati è opportuno che  l’azienda si doti di un sistema per impedire allo smart worker di visualizzare ed entrare in contatto con le informazioni non pertinenti con lo svolgimento delle proprie mansioni.
  • Il sistema di autenticazione dovrebbe comprendere due passaggi e non semplicemente una password. L’autenticazione a due fattori  si puo realizzare con un sistema di codici via sms sul telefono mobile o l’uso di chiavette (token Usb) o smart card, coem spesso succede per mi servizi di home banking, che consente una verifica dell’identita di chi accede ai dati aziendali .
  • Se computer o smartphbone vengano  smarriti o siano oggetto di accesso da parte di terzi , il lavoratore deve ovviamente darne immediata comunicazione al datore di lavoro che, come titolare del trattamento dei dati personali , è chiamato a notificare l’avvenuta violazione al Garante entro 72 ore dalla conoscenza del fatto e deve comunicarla senza ingiustificato ritardo agli interessati (articoli 33 e 34 del Regolamento)
  • Nel caso si verifichino  effettivamente violazioni dei dati personali di un soggetto da parte del lavoratore “agile “o di terzi, il datore di lavoro risponde  dei danni anche civilisticamente . Le sanzioni per inadeguatezza delle misure di sicurezza  possono arrivare a  10 milioni di euro.