Smart working: non trascurare la cultura della cybersecurity

21/11/2016
di Silvia Calissi

Media, imprese e organizzazioni sindacali hanno dato massima attenzione all’argomento smart working nell’ultimo periodo, complice il disegno di legge del Consiglio dei Ministri del 28 Gennaio 2016, il cui Titolo II è interamente dedicato alle forme flessibili del lavoro agile.

laptop-1205256_1920Tuttavia, sembra che spesso venga trascurata l’analisi relativa alla protezione dei dati, d’importanza strategica per l’attuazione di una policy di smart working efficace: le aziende si muovono per l’acquisto di sistemi di sicurezza costosi, specialmente nell’ottica di prevenire attacchi malware e ramsoware che nella prima metà del 2016 hanno causato importanti perdite alle organizzazioni di vari settori; ma i recenti studi sui cyberattack evidenziano che circa il 40% degli attacchi alle aziende sono causati da maldestri insiders, a dimostrazione del fatto che sistemi di sicurezza avanzati nulla possono sul fattore umano, spesso impreparato e disinformato sui processi necessari alla corretta gestione del patrimonio aziendale di dati.

La sfida posta dallo smart working alle aziende italiane è dunque quella di cogliere le opportunità di un cambiamento organizzativo, fronteggiando da un lato la tutela del lavoratore e dall’altro le esigenze di protezione informatica.

La tutela del lavoratore: il controllo a distanza

Lo smart working è rivolto alle professioni impiegatizie, caratterizzate da un’intensa attività sui dispositivi mobili (laptop, tablet e smartphone). Ogni ruolo aziendale avrà un intensivo uso di dispositivi atti a «rendere la prestazione lavorativa» che, come indicato nel comma 2 della nuova formulazione dell’art. 4 SL, fuoriescono dall’obbligo di accordo sindacale, a meno che non vengano “modificati” attraverso l’installazione di software in grado di monitorare la prestazione lavorativa. L’azienda quindi può utilizzare i dati raccolti tramite gli strumenti di lavoro utilizzati dallo smartworker, senza autorizzazione sindacale e per tutti i fini connessi al rapporto di lavoro, a condizione che non vi vengano installati appositi software per il controllo e, soprattutto, che sia stata resa al collaboratore un’imprescindibile ed adeguata informazione. In questa prospettiva, i regolamenti informatici interni giocano un ruolo fondamentale per contemperare le esigenze di tutela del lavoratore e gli interessi del datore di lavoro, indicando chiaramente quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli.

La tutela dell’azienda: la protezione dei dati e dei sistemi informatici

L’art. 17 del disegno di legge sul lavoro agile distingue obblighi e responsabilità in capo al datore di lavoro e al dipendente: il datore di lavoro deve adottare misure atte a garantire la protezione dei dati utilizzati ed elaborati; il lavoratore è tenuto a custodire con diligenza gli strumenti tecnologici messi a disposizione dal datore di lavoro ed è responsabile della riservatezza dei dati.

computer-1591018_1280Per l’azienda quindi si tratta di garantire la protezione dei dati e di adottare misure di sicurezza idonee e preventive come disciplinate dal Codice Privacy per evitare la perdita, la distruzione, la diffusione di dati personali trattati dal dipendente in smart working. Il lavoratore, dall’altro canto, è responsabile della custodia degli strumenti e della riservatezza dei dati. In passato si è parlato di casi più o meno eclatanti di furti di laptop aziendali, che hanno fatto emergere dati e documenti di natura riservata poi divulgati in rete, riconducibili alla negligenza dei collaboratori di aziende inglesi e americane.

Molto meno eclatanti e più diffuse sono nella prassi lo scambio di credenziali tra colleghi oppure l’utilizzo di dispositivi personali per svolgere anche brevi o occasionali attività lavorative. Tuttavia, rimane controverso non solo autorizzare l’uso dei dispositivi personali (BYOD – Bring Your Own Device), ma anche l’accesso alla banda, ai database e agli applicativi aziendali, poiché non si può tracciare un netto confine tra ciò che è patrimonio aziendale e ciò che è il patrimonio personale del dipendente.

Dunque, come tutelare la sicurezza aziendale nei progetti di smart working?

Il nuovo Regolamento Europeo sulla protezione dei dati si presta come un buon presupposto per un progetto di smart working, dato che obbliga il titolare del trattamento a prevedere misure tecniche ed organizzative adeguate per garantire la sicurezza informatica. Mentre è teoricamente possibile prevedere ogni tipo di processo, è il dipendente la variabile più difficile da gestire, per dimostrare di aver messo in atto misure organizzative adeguate ai fini del principio dell’accountability: la formazione diventa allora uno strumento dirimente come prova della compliance normativa, dimostrando di aver messo le persone in grado di comprendere quali sono i rischi che si corrono nella gestione dei dati ed evitando di incorrere nelle pesanti sanzioni previste.

Smart deve essere in primo luogo l’organizzazione aziendale, per prevenire i rischi connessi alle vulnerabilità informatiche, gestire la governance della multicanalità di dispositivi diversi interconnessi attraverso il cloud e tutelare, allo stesso tempo, l’autonomia e la privacy dei lavoratori. Nuove tecnologie, infrastrutture di sicurezza e policy organizzative non saranno infatti sufficienti se non corroborate dalla sensibilità comportamentale delle persone e da un concreto sostegno del top management verso la diffusione di un modello di smart working che non comprometta il senso di appartenenza alla collettività aziendale.

Riproduzione riservata ©

ALTRE NEWS

Raccomandazione dell’OCSE sulla Digital Security

La versione integrale dell’Editoriale dell’Avv. Valentina Frediani su ‘Il Documento Digitale’ N. IV MMXV. “È impossibile poter eliminare totalmente il rischio digitale, ma questa sfida… Leggi Tutto

Verbal order: adempimenti normativi a tutela del consumatore e focus sulla privacy

Di recente è aumentato in via esponenziale l’uso dei contratti a distanza cosiddetti verbal order come vendita di prodotti o servizi utilizzando il telefono. Tale… Leggi Tutto

Notifica telematica via PEC. Il processo telematico muove i primi passi, cosa significa per le aziende?

Sono entrate in vigore, da poco più di un mese le norme e le regole tecniche, che consentono agli avvocati la notifica degli atti processuali… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.