La possibilità di ricorrere allo smart working è sicuramente un valore in più per l’azienda: lo è in condizioni di normalità, quando può essere data ad un lavoratore in difficoltà la possibilità di lavorare da remoto, lo è ancora di più in questo contesto emergenziale. Questa modalità di lavoro si amplierà. E’ inevitabile. A livello operativo o gestionale potrebbe non cambiare alcunché, ma per quanto riguarda la protezione dati emergono problematiche sulle quali, in un primo momento, difficilmente ci si sofferma.

Prima tra tutte, l’aumento dei rischi e la conseguente necessità di aumentare il livello di protezione non solo a livello tecnico. Una seconda riflessione è sulle modalità con cui sono stati raccolti i dati e se, nelle informative sottoscritte dagli interessati, è stato specificato che i dati possono essere lavorati da remoto. Forse per qualcuno potrebbe non essere una clausola rilevante da inserire in un’informativa, ma di fatto è una forma di trattamento peculiare che espone i dati a maggiori rischi di perdita o furto. E’ del resto un dato di fatto che in questo periodo si è registrato un aumento di attacchi telematici e tentativi di truffe on line con invio di email che apparentemente sono relative al Covid 19.

Chi opera in smart working opera da remoto e, necessariamente, utilizza un computer o un cellulare, o più probabilmente entrambi, che collega dalla propria abitazione o da un ufficio. Da questa semplice, oggettiva, osservazione emerge come aumentino i rischi. Con quale rete si connetterà lo smart worker sul computer aziendale? Caso opposto: con quale strumento personale accederà ai cloud o server aziendali? Nel primo caso viene da chiedersi quanto sia sicura la rete; nel secondo sarebbe opportuno sapere chi altri usa il computer in questione, quale sia il livello di sicurezza, quali siti vengano visitati e così via.

La domanda che sorge, dopo quella precedente relativa all’acquisizione del consenso, è quella relativa alla consapevolezza degli smart workers riguardo i nuovi rischi che fanno correre ai dati dell’azienda. Hanno ricevuto istruzioni adeguate? O meglio, considerata la formulazione del GDPR e dell’impianto sanzionatorio, le aziende sono in grado di dimostrare di avere fatto tutto il possibile per evitare perdite o furti di dati? Corsi, informative e lettere di incarico al personale sono i requisiti minimi da porre in essere, possibilmente abbinati a manuali di istruzioni a dimostrazione di essersi adeguati a quei requisiti minimi per adempiere ai doveri di protezione.

Dovrebbe essere onere del datore di lavoro predisporre gli ambienti per lo smart working non solo per le condizioni in cui dovranno operare le risorse collegate da remoto, ma anche ai fini della gestione e della protezione dei dati che, di fatto, vengono portati al di fuori dell’ambiente aziendale o ai quali si accede da strumenti non aziendali. La sicurezza che dovrebbe garantire l’ambiente aziendale, viene quindi del tutto meno. Ricordiamo infatti che lo smart working, se una volta poteva essere relativo ad una determinata tipologia di manifatturiero, oggi è quasi esclusivamente di natura impiegatizia se non dirigenziale; anche da ciò si comprende la delicatezza necessaria e l’accortezza nel proteggere i dati. Basti solo pensare agli account di posta elettronica cui si accede da connessioni obiettivamente meno sicure.

Non vanno bene soluzioni economiche o fai da te: sono come gli antivirus gratuiti. E le soluzioni non sono solo quelle tecniche ma, necessariamente, anche di un paracadute legale.