Le byod policy e la compliance GDPR definiscono anche il corretto utilizzo dei supporti informatici utilizzati nello smart working e il corretto svolgimento della prestazione lavorativa in remoto. Un lavoratore in modalità agile alle dipendenze di un’impresa o azienda, pubblica o privata, può entrare facilmente in contraddizione con i principi sanciti dagli articoli 2104/2105 del Codice Civile che mirano a tutelare l’interesse economico dell’impresa e a sancire i principio della cooperazione e della rispettiva fiducia tra datore di lavoro e lavoratore subordinato. Per cui il lavoratore dipendente può essere sanzionato in merito al:
- mancato rispetto degli orari di lavoro di inizio e fine turno;
- mancata presentazione sul luogo di lavoro senza preavviso;
- inosservanza delle prescrizioni impartite dal datore di lavoro.
Al riguardo, quindi, la domanda che sorge relativamente all’applicazione del lavoro agile è: come fa il datore di lavoro a controllare la prestazione di lavoro del dipendente in smart working? Infatti, un dipendente in smart working potrebbe non rispettare gli orari di lavoro o non osservare le prescrizioni impartite senza che il datore di lavoro ne venga a conoscenza. Il cardine dello svolgimento del lavoro agile è, come sappiamo, quello dell’assenza fisica del lavoratore in azienda e quindi non è e non può essere sottoposto al controllo diretto dei suoi superiori o del datore di lavoro. Inoltre, durante l’orario di lavoro in modalità smart working il dipendente potrebbe assumere comportamenti che lo distolgono dalla sua prestazione, come fare delle telefonate che esulano dai suoi compiti, spedire e-mail, navigare sui social network. In teoria, durante lo svolgimento del lavoro agile il dipendente potrebbe fare tutt’altro meno che lavorare.
Byod security policy per il corretto controllo e svolgimento della prestazione in smart working
Tuttavia occorre precisare che il telelavoro, il lavoro agile e lo smart working sono concetti e modalità di lavoro diverse tra loro. Il telelavoro non è altro che lo spostamento in una sede ben identificata, generalmente a domicilio, dello stesso lavoro e con le stesse caratteristiche di quello svolto dal dipendente in sede aziendale. Lo smart working è una modalità elastica di “lavoro subordinato, caratterizzato dall’assenza di vincoli orari o spaziali e da un’organizzazione per fasi, cicli e obiettivi, stabilita mediante accordo tra dipendente e datore di lavoro. Una modalità che aiuta il lavoratore a conciliare i tempi di vita e lavoro e, al contempo, favorire la crescita della sua produttività. La definizione di smart working, contenuta nella legge n. 81/2017, pone l’accento sulla flessibilità organizzativa, sulla volontarietà delle parti che sottoscrivono l’accordo individuale e sull’utilizzo di strumentazioni che consentano al dipendente di lavorare da remoto, computer portatili, tablet, smartphone.
Proprio per garantire il corretto utilizzo dei device mobile, grazie all’aiuto di un buon consulente per lo smart working l’azienda è chiamata a:
- Implementare una buona policy aziendale, la company byod policy, per la disciplina dell’utilizzo dei supporti informatici, individuando gli strumenti da utilizzare durante la prestazione di lavoro come mail, smartphone o ipad da assegnare al dipendente. Le byod policy devono garantire la sicurezza sul web, precisare i termini di utilizzo dei supporti informatici anche per fini personali, indicare le regole di condotta cui deve attenersi il dipendente per l’uso, informandolo se e in che modo il datore di lavoro si riserva di svolgere controlli sugli strumenti dati in dotazione.
- Da parte sua il dipendente deve essere consapevole delle conseguenze alle quali va incontro, se dovesse non ottemperare al rispetto delle policy aziendali definite in sede di accordo individuale per il lavoro agile.
- Infine, a maggior ragione per la modalità del lavoro agile, l’aspetto della tutela e protezione dei dati personali definite dal GDPR assume un rilevo ancora maggiore. Il Garante per la protezione dei dati personali, infatti, raccomanda da parte dei datori di lavoro sia pubblici sia privati, l’adozione di un regolamento interno, di una corretta compliance GDPR, redatto attraverso il confronto delle rappresentanze sindacali e nel rispetto dello Statuto dei lavoratori, del Regolamento (UE) n. 2016/679 del GDPR e del Decreto Legislativo 30.06.2003, n. 196 ovvero il Codice in materia di protezione dei dati personali.
Per definizione e dal momento che lo smart working è una modalità di lavoro per obiettivi, il tradizionale controllo del datore di lavoro sul dipendente non è più riconducibile ai paradigmi fin qui conosciuti, ma è un rapporto che si salda ancora di più sulla fiducia reciproca. Ciò non toglie che alcune modalità di controllo possono essere concordate tra datore di lavoro e dipendente ma che non possono superare alcuni limiti. Il datore di lavoro non può utilizzare software non aziendali o strumenti per il monitoraggio dell’attività svolta dal dipendente. Però gli accordi si possono stipulare per svolgere un certo tipo di controllo con lo scopo di proteggere materiale o informazioni riservate aziendali, o che possono riguardare segreti industriali o materiale coperto da copyright o proteggere il know how aziendale, ma sempre dopo aver messo a conoscenza il lavoratore. Sicché il datore di lavoro può:
- accedere alla corrispondenza dell’email fornita al lavoratore in smart working;
- scaricare la memoria di massa dal computer aziendale;
- visualizzare dal computer aziendale la cronologia del browser utilizzato.
Il principio è che il controllo deve essere mirato e non invasivo e deve interessare esclusivamente i beni e gli strumenti aziendali. Il limite oltre il quale il datore di lavoro non può esercitare il controllo sul dipendente è già stato tracciato dalla giurisprudenza. Per esempio, con l’ordinanza N. 19222 del 5.10.2016, la Corte di Cassazione ha stabilito che il GPS installato sui veicoli per il tracciare gli spostamenti con lo scopo di programmare in modo più efficace l’organizzazione del lavoro aziendale, non può essere utilizzato per il controllo del dipendente. Tra la possibilità di sfruttare un sistema tecnologico come il GPS ai fini dell’organizzazione aziendale e quello di esercitare il controllo sul dipendente che esula da questi fini, c’è di mezzo la tutela della privacy garantita dall’esercizio dei principi di correttezza e pertinenza sanciti dal Garante. Quindi l’uso di ogni dispositivo tecnologico da parte del datore di lavoro deve essere lecito e il dipendente dev’essere consapevole della loro esistenza e conoscerne le modalità di funzionamento.
La pronuncia della Cassazione per il corretto utilizzo del GPS durante lo svolgimento della prestazione lavorativa
Nel merito, la Cassazione è intervenuta per l’addebito nei confronti di un dipendente cui era stato contestato un comportamento illecito riscontrato attraverso l’utilizzo del GPS. Ma l’utilizzo di un sistema così invasivo per il controllo del lavoratore non è stato ritenuto pertinente dalla Corte di Cassazione, che ha respinto le argomentazioni date dall’azienda datrice di lavoro che voleva utilizzare il GPS come sistema di controllo a carattere difensivo e ha condannato l’azienda al pagamento delle spese processuali.