Chissà che la vicenda del Comune di Rieti, dopo quella di Marentino, non insegni qualcosa ad aziende ed enti pubblici in materia di protezione dati ma, come purtroppo accade in queste situazioni, saranno necessarie le sanzioni del Garante per far comprendere l’importanza di una corretta applicazione del GDPR nei luoghi di lavoro. Ed oggi il numero dei luoghi di lavoro è aumentato a dismisura. Dalle notizie riportate in cronaca, il sistema del Comune di Rieti è stato hackerato: anonimi pirati avrebbero reso impossibile l’accesso ai database, si sarebbero impossessati dei dati dei cittadini e chiesto un riscatto di cinquecentomila euro per sbloccare il tutto. L’attacco sembrerebbe sia stato portato nel corso di una riunione su una piattaforma online per videocall. Una testata riferisce che sarebbe apparso tra i partecipanti una figura sconosciuta.

Il lavoro da remoto è ormai un futuro verso il quale stiamo andando ed è una strada senza ritorno. Sempre più aziende e piccoli imprenditori hanno realizzato di come questo sistema abbatta i costi, anche in misura molto importante. Si trovano on line sempre più articoli, corsi, suggerimenti e soluzioni per migliorare lo smart working. Sedie ergonomiche, schermi per PC, collegamenti con cellulari, cuffie e microfoni i più gettonati, ma non mancano offerte di consulenza psicologica specifica e vademecum per conciliare la vita privata con il lavoro svolto da casa, in particolar modo per chi ha figli. 

Lo smart working sta, di contro, offrendo maggiori possibilità di introdursi in sistemi informatico, con le conseguenze che ne derivano sul piano della protezione dei dati: nonostante ciò si registra minore attenzione, ancora una volta,sulla protezione dei dati e l’applicazione del GDPR. Non tutte le imprese e amministrazioni hanno preso atto che adesso ogni abitazione dei loro dipendenti è un luogo di lavoro e dovrebbe garantire le stesse condizioni di sicurezza dell’ufficio e chissà in quanti si sono preoccupati di accertarsi della sicurezza della rete utilizzata per connettersi e su un corretto uso dei computer e cellulari aziendali.

Siamo certi che sul portatile fornito dall’azienda qualche dipendente non abbia visitato social, siti di giochi, magari scommesse, di incontri o per acquisti e, magari, abbia deciso di fare la spesa? E non possiamo escludere che qualche membro del nucleo familiare non abbia utilizzato lo stesso computer, perché migliore, per collegarsi con il suo lavoro o per lo home schooling? Viene da chiedersi se qualcuno, approfittando della bella stagione e stressato dalla forzata chiusura in casa, abbia deciso di lavorare da un parco; magari qualcuno si è collegato alla sua rete o ha letto alle spalle dello smart worker i dati sullo schermo.

Si tratta di comportamenti che mettono a repentaglio non solo i dati contenuti in quel computer, ma l’intero database aziendale e, su questo punto, si rileva molto disinteresse e mancanza di attenzione, senza corsi o istruzioni per l’uso. Maggiore interesse è stato dato agli aspetti connessi ai diritti dei lavoratori ed ai controlli che il datore può porre in essere, ma la formazione specifica per la protezione dati è passata quasi sempre in secondo piano. E’ stata quindi data maggiore importanza alle possibilità di controllo sull’attività del lavoratore.  

E’ pur vero che nell’immediatezza dell’emergenza era importante riprendere il lavoro, ma era necessario immaginare che i ladri di dati si sarebbero scatenati e, secondo alcune fonti, si parla di un aumento degli attacchi del 700% dall’inizio del lockdown. Un dato importante su cui riflettere e che è destinato ad aumentare insieme all’incremento del lavoro da remoto. Il ricorso alla modalità di lavoro agile comporta inevitabilmente un aumento del rischio di accesso non autorizzato a dati aziendali, personali e non, ancor di più nella fase attuale in cui molte aziende si sono trovate a gestire per la prima volta l’attività lavorativa da remoto dei propri dipendenti.

Tale rischio può essere correttamente gestito adottando una policy aziendale che descriva i comportamenti corretti nell’utilizzo dei dispositivi in uso per svolgere l’attività lavorativa; qualora un regolamento di questo tipo sia già presente sarà opportuno verificarne il contenuto ed eventualmente aggiornarlo sulla base delle modalità prescelte per svolgere l’attività da remoto. L’adozione di tali regole consentirà anche al datore di lavoro di irrogare provvedimenti disciplinari nei confronti dei dipendenti, che, in mancanza di tale informativa, sarebbero invece illegittimi.