Sundar Pichai, ceo di Google, ha annunciato di recente che la compagnia intende integrare stabilmente il lavoro agile nelle proprie modalità di lavoro. Pur con un approccio ibrido al tema, che preveda ad esempio tre giorni in ufficio e due da remoto.
Dichiarazioni che mettono ben in evidenza l’interesse crescente catalizzato dal lavoro agile, strumento che molte aziende sono state costrette a sperimentare per la prima volta durante il lockdown e che oggi ha assunto le sembianze di una vera e propria rivoluzione. Trasformandosi in molti casi in una scelta strutturale grazie agli indubbi vantaggi, dalla miglior conciliazione di vita lavorativa e personale fino alla riduzione dello stress dovuto agli spostamenti per raggiungere l’ufficio.
UNA NUOVA NORMALITA’
Attualmente, secondo dati Inapp (Istituto nazionale per l’analisi delle politiche pubbliche), il 54% dei dipendenti nelle grandi imprese lavora in tutto, o in parte, da remoto; inoltre, secondo un’analisi condotta dall’Osservatorio del Politecnico di Milano e da Randstad Research, nei prossimi mesi il lavoro agile potrebbe interessare una platea tra i 3 e i 5 milioni di lavoratori. La strada dovrebbe essere quella tracciata dal ceo di Google: secondo un recente studio di Fondirigenti, si preferirà spezzare la settimana in due o alternare i giorni in presenza e quelli a distanza, così da non sacrificare rapporti sociali e interazione fisica con i colleghi. Secondo Vittorio De Luca, managing partner dello studio legale De Luca & Partners, specializzato in diritto del lavoro e Gdpr (General Data Protection Regulation), “in un futuro divenuto ormai prossimo, le politiche di lavoro agile si prestano a diventare sempre più una regola e non più solo un’eccezione”. A incentivarle negli ultimi mesi è stata anche la normativa: il Decreto Riaperture ha infatti esteso fino al prossimo 31 luglio la possibilità per i datori di lavoro di attivare lo strumento con un atto unilaterale, senza cioè dover sottoscrivere un accordo individuale. Termine che dovrebbe essere prolungato fino al 31 dicembre anche per il settore privato, che andrebbe così ad allinearsi a quanto già previsto per la pubblica amministrazione. “Tuttavia”, evidenzia De Luca, “al termine del periodo emergenziale sarà opportuno e necessario regolamentare puntualmente il rapporto tra le parti in causa, ossia i datori di lavoro da un lato e i lavoratori (smart workers) dall’altro”.
I NODI DA SCIOGLIERE
A introdurre nell’ordinamento italiano il lavoro agile è stata la legge 81 del 2017. Quest’ultimo, spiega De Luca, viene definito all’interno della normativa “come una nuova e flessibile modalità di organizzazione del lavoro subordinato, che prescinde dalla esatta definizione del luogo e dell’orario di lavoro, prevedendo che l’attività possa svolgersi in parte all’interno dei locali aziendali e in parte all’esterno, senza una postazione fissa, ma nel rispetto dei limiti di durata massima dell’orario giornaliero e settimanale stabiliti dalla legge e dai CCNL di settore. Requisito indispensabile per far sì che questo avvenga”, prosegue, “è la stipulazione di un accordo, rigorosamente in forma scritta (ai fini della prova e della regolarità amministrativa), tra azienda e lavoratore”. E proprio lo svincolo da limiti spaziali e temporali, osserva l’esperto, “se non regolamentato preventivamente, potrebbe causare conseguenze negative sia per il lavoratore sia per il datore di lavoro, tanto sotto un profilo professionale/lavorativo quanto sociale e personale”.
“Il lavoro agile infatti ha sottratto essenzialità al profilo temporale della prestazione, ponendo al centro gli obiettivi e le performance delle risorse interessate”, spiega De Luca. Per il quale “diventa primario per i datori di lavoro avere la possibilità di verificare e misurare i risultati del lavoratore agile”, determinando però al contempo “le forme di esercizio del potere datoriale, con particolare attenzione alle modalità, alle finalità e ai contenuti degli stessi”. Di qui la necessità, conclude, di “introdurre accordi, accompagnati da procedure e regolamenti interni, che disciplinino tali aspetti, istruendo inoltre il lavoratore sull’utilizzo della strumentazione di lavoro e sulla sicurezza aziendale e la protezione dei dati personali”.
La Corte di Cassazione, con l’ordinanza n. 18292 emessa il 3 settembre 2020, ha osservato che l’omessa predisposizione di misure tecniche ed organizzative a tutela della protezione dei dati personali dell’interessato è equiparabile alla colpa organizzativa legata alla mancata adozione di un modello organizzativo ai sensi del D.Lgs. 231/2001.
Nel caso di specie, un ente locale ha presentato ricorso in Cassazione avverso un’ordinanza di ingiunzione dell’Autorità Garante per la protezione dei dati personali (il “Garante”) con la quale gli era stata comminata una sanzione per aver pubblicato sull’albo pretorio on line i dati personali di una dipendente comunale oltre il termine di 15 giorni previsto dall’articolo 124 del TUEL (“Testo Unico degli Enti Locali”).
Era stato, infatti, accertato che il Comune aveva mantenuto visibili per oltre un anno le determinazioni da cui risultavano evidenti (i) il nome e il cognome dell’interessata, (ii) l’esistenza di un contenzioso tra la stessa e l’Amministrazione comunale, (iii) lo stato di famiglia e (iv) le circostanze che la medesima vivesse da sola, avesse avanzato una domanda di rateizzazione del dovuto e che tale domanda non fosse stata accolta.
Il Comune, a sostegno della propria posizione, ha eccepito che la colpa della mancata cancellazione dei dati dell’interessata dall’albo pretorio on line dovesse essere imputata all’opera di un consulente esterno a cui era stato dato l’incarico di configurare il sito internet dell’Amministrazione in conformità alla normativa vigente.
La Corte di Cassazione, nel respingere il ricorso, ha chiarito che i dati della dipendente non riguardavano alcun “aspetto dell’organizzazione”, non costituivano “indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse”, né tantomeno rappresentavano “risultati dell’attività di misurazione e valutazione svolta dagli organi competenti”. Pertanto, la loro pubblicazione oltre il termine fissato dalla legge non poteva considerarsi legittima.
In merito poi alla responsabilità del consulente esterno, la Corte di Cassazione ha precisato che il titolare del trattamento, ai sensi dell’art. 4 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”), è la persona giuridica e non il legale rappresentante o l’amministratore, configurandosi così una autonoma responsabilità proprio in capo alla persona giuridica. Questa responsabilità, proseguono i giudici, deve essere configurata come “colpa di organizzazione”, ossia come “rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti”, “analogamente a quanto previsto dal D.lgs. 231/2001 in tema di responsabilità da reato degli enti”.
Alla luce di quanto sin qui espresso, la Corte di Cassazione è giunta alla conclusione che il ritardo nella rimozione dall’albo pretorio on line dei dati pubblicati è “pienamente riconducibile alla sfera di signoria dell’Ente e del suo apparato”.
Con l’ordinanza in esame, la Corte di Cassazione rileva un’importante analogia tra la disciplina in materia di protezione dei dati personali e quella in tema di responsabilità da reato degli enti, comparando e parificando appunto la mancata adozione di adeguate misure tecniche ed organizzative (ex art. 32, GDPR) alla c.d. “colpa di organizzazione” prevista dal D.lgs. 231/2001.
Altri Insights correlati:
Il Quotidiano del Lavoro pubblica un articolo a firma di Vittorio De Luca, Antonella Iacobellis e Martina De Angeli a proposito di un recente provvedimento dell’Autorità Garante per la protezione dei dati personali, che sanziona un ateneo italiano per non aver adeguatamente tutelato, affidandosi alle procedure di sicurezza scelte dal proprio fornitore software, i dati personali di due whistleblowers.
Clicca qui per leggere il DLP insights relativo alla vicenda e le considerazioni dello Studio.
L’Autorità Garante per la protezione dei dati personali con il Provvedimento n. 17 del 23 gennaio 2020, nel sanzionare un Ateneo italiano per non aver adeguatamente tutelato la riservatezza dei dati identificativi di due soggetti – i whistleblowers – che avevano segnalato possibili comportamenti illeciti, ha ribadito la sussistenza dell’obbligo in capo al datore di lavoro “Titolare del trattamento” (ai sensi dell’articolo 4, del Regolamento UE 2016/679, il “GDPR”) di porre in essere misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali trattati (cfr. Newsletter del Garante n. 462 del 18 febbraio 2020).
Nello specifico, all’epoca dei fatti, l’Ateneo nell’adeguarsi agli obblighi di adeguata tutela del dipendente che segnala condotte illecite dall’interno dell’ambiente di lavoro (il c.d. “whistleblowing” introdotto nell’ordinamento italiano con il decreto legislativo n. 165 del 30 marzo 2001), aveva scelto di utilizzare una soluzione tecnologica. In questo caso, per garantire la protezione dell’acquisizione e della gestione delle segnalazioni degli illeciti, l’Ateneo era ricorso all’utilizzo di una piattaforma software fornitagli da un soggetto terzo esterno rispetto all’organizzazione dell’Ateneo stesso.
Durante una modifica con contestuale aggiornamento della piattaforma software, si verificava una c.d. sovrascrittura dei permessi di accesso che aveva comportato l’esposizione dei dati personali dei due whistleblowers, su alcuni motori di ricerca accessibili e visualizzabili da chiunque effettuasse una ricerca tramite Internet.
A fronte di quanto sopra, l’Ateneo notificava all’Autorità Garante per la protezione dei dati personali una violazione – c.d. data breach – con la quale si denunciava la dispersione dei dati personali comuni dei due whistleblowers sulla rete pubblica, resi in tal modo potenzialmente consultabili da chiunque.
L’attività istruttoria, posta in essere dall’Autorità Garante per la protezione dei dati personali, ha rilevato che l’Ateneo non aveva adottato adeguati accorgimenti tecnici ed organizzativi finalizzati a garantire “le esigenze di sicurezza e riservatezza proprie della gestione dei dati nell’ambito delle procedure di whistleblowing”, non impostando, peraltro, una corretta procedura per il controllo degli accessi che avrebbe dovuto limitare il trattamento dei dati al personale autorizzato.
L’Ateneo, infatti, si era limitato a fare proprie le misure di sicurezza scelte dal fornitore del software. Tuttavia, predette misure di sicurezza non erano adeguate e idonee, non prevedendo accorgimenti quali la cifratura o l’adozione di un protocollo di comunicazione sicura delle informazioni e consentendo in tal modo la violazione della riservatezza e dell’integrità dei dati personali trattati e la non corretta conservazione e accessibilità degli stessi.
In particolare, l’Autorità Garante per la protezione dei dati personali sosteneva che “Con riguardo all’applicativo in questione, tenuto conto della natura, dell’oggetto e della finalità del trattamento nonché dell’elevato rischio per i diritti e le libertà dei segnalanti, la soluzione adottata dall’Ateneo non può essere considerata una misura tecnica adeguata a garantire la riservatezza e l’integrità dei dati trattati nonché l’autenticità del sito web visualizzato da parte dei soggetti che lo utilizzano sia come canale di invio delle segnalazioni (dipendenti, studenti, ecc.) che come strumento di gestione delle stesse (RPCT ed eventuali suoi collaboratori”.
Clicca qui per continuare a leggere l’articolo.