smart working

Smart Working per le PMI: privacy e sicurezza informatica dei dispositivi da remoto.

Smart working

Il rapido diffondersi della pandemia di Sars-CoV-2 ha determinato un profondo e traumatico cambiamento nelle modalità di esecuzione del rapporto di lavoro subordinato.

Con l’emanazione del Decreto attuativo del 23 febbraio 2020 n.6, relativo a disposizioni urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, si è resa obbligatoria la sospensione di ogni attività lavorativa per le imprese, ad esclusione di quelle che possono essere svolte in modalità domiciliare ovvero in modalità a distanza”. Il successivo DPCM dell’11 marzo 2020 raccomanda che “in ordine alle attività produttive e alle attività professionali sia attuato il massimo utilizzo di lavoro in modalità agile.”

A seguito dell’emanazione di questi provvedimenti di emergenza, tutte le realtà aziendali italiane si sono trovate nella condizione di dover procedere ad una revisione del loro assetto organizzativo.

Il Ministero del Lavoro e delle Politiche Sociali, nella Legge 81/2017, definisce il lavoro agile (o smart working) come “una modalità di esecuzione del rapporto di lavoro subordinato caratterizzata dall’assenza di vincoli orari e spaziali e un’organizzazione per fasi, cicli e obiettivi, stabiliti mediante un accordo tra dipendente e datore di lavoro “. Questa definizione pone l’accento sulla flessibilità organizzativa e rimuove i vincoli legati al concetto di postazione fissa, consentendo al lavoratore di erogare la prestazione anche da remoto, grazie all’utilizzato di un’apposita strumentazione (come pc portatili, tablet e smartphone). 

Sono proprio gli strumenti tecnologici e digitali i principiali alleati che consentono la continuità aziendale e ai dipendenti di continuare a lavorare senza andare in ufficio.

Per alcune realtà aziendali strutturate lo smart working è un progetto interdisciplinare il cui regime è ampiamente collaudato, mentre, per la maggior parte delle PMI, è una materia complessa, da affrontare in emergenza.

Cerchiamo di fornire alcuni spunti pratici di riflessione.

Strumenti elettronici forniti (pc, tablet, cellulare, etc.) dal datore di lavoro

Il datore di lavoro deve dotare i lavoratori di strumenti idonei e correttamente configurati in modo da garantire un’adeguata sicurezza tecnico-informatica, altrimenti vi possono essere ricadute di responsabilità in capo al datore di lavoro.

L’azienda dovrebbe innanzitutto predisporre un documento (una cosiddetta “carta dello smart worker”) in cui siano indicate le linee guida aziendali, le regole di condotta da rispettare (ad esempio la flessibilità dell’orario di lavoro) e quali strumenti tecnologici sia possibile utilizzare da remoto.

Il datore di lavoro deve quindi essere a conoscenza di quali strumenti e tecnologie impiegare al fine di proteggere il sistema informatico aziendale, i dati raccolti e trattati (precisando che gli stessi costituiscono un asset dell’azienda) e quali misure adottare al fine di minimizzare il rischio di intrusioni illegittime alla rete.

La CNIL, l’autorità privacy francese, indica alcuni suggerimenti pratici per ogni dispositivo fornito in dotazione al lavoratore di:

  • Installare un software antivirus, un firewall (dispositivo che permette di monitorare il traffico in entrata e in uscita) e un altro strumento che limiti l’accesso a siti potenzialmente dannosi

  • Impostare una rete VPN che consenta di crittografare i dati in fase di trasmissione

  • Implementare meccanismi di autenticazione a due fattori sui servizi accessibili da remoto per limitare i rischi di intrusione

  • Utilizzare protocolli che garantiscano la riservatezza e l'autenticazione del server ricevente, ad esempio HTTPS per i siti web e SFTP per il trasferimento dei file, utilizzando le versioni più recenti di questi protocolli

  • Controllare regolarmente i registri di accesso a distanza per individuare comportamenti sospetti ed eventuali accessi non autorizzati

  • Limitare il numero di servizi disponibili da remoto in modo da ridurre il rischio di attacchi ed intrusioni

  • Prevedere una procedura standardizzata in caso di guasto o di perdita del terminale che consenta di cancellare da remoto tutti i dati aziendali archiviati

Strumenti elettronici di proprietà del lavoratore

Gli strumenti non devono essere necessariamente di proprietà del datore di lavoro.

La possibilità di impiegare strumenti tecnologici di proprietà del lavoratore per eseguire la prestazione lavorativa in smartworking (in inglese indicato con l’acronimo BYOD che significa “bring your own device”) è una scelta riservata al datore di lavoro, che può permetterlo a determinate condizioni e vietarlo in altre.

Questa scelta deve però essere il risultato di una ponderata valutazione poiché il datore di lavoro è responsabile della sicurezza dei dati personali e aziendali anche nel caso in cui questi siano trattati e conservati in dispositivi sui quali egli non esercita alcun effettivo controllo ma di cui ha autorizzato l'utilizzo per accedere a risorse informatiche dell'azienda.

Al fine precauzionale è indispensabile procedere alla valutazione dei rischi tenendo in considerazione il contesto specifico (quale apparecchio e quali applicazioni vengono impiegate per avere accesso o trattare quale tipo di dati) e fare una stima in termini di gravità e probabilità, così da implementare le misure di sicurezza necessarie e adeguate al caso concreto.

Se il datore di lavoro decidesse di consentire l’uso di strumenti personali del lavoratore, una buona prassi è quella di richiedere di “compartimentare” il device, in modo da separare le sezioni destinate all’utilizzo in un contesto professionale da quelle invece riservate alla sfera personale e individuale. 

Non è però possibile adottare misure di sicurezza che abbiano lo scopo o l'effetto di limitare le funzionalità del dispositivo di proprietà del lavoratore, ad esempio impedendo il download di applicazioni mobili, l’utilizzo di social networks o di altri sistemi di messaggistica istantanea.

Software di videoconferenza

Uno strumento di fondamentale importanza nell’ambito dello svolgimento di attività lavorativa da remoto è rappresentato dalle applicazioni di videoconferenza, che nelle ultime settimane sono state scaricate da milioni di utenti in tutto il mondo.

Gli strumenti di videoconferenza si basano sulla tecnologia VoIP (Voice over IP) che consente di comunicare tramite il microfono e/o la webcam e richiedono una connessione ad Internet.

Noyb, Centro Europeo per i Diritti Digitali con sede a Vienna, ha svolto una dettagliata analisi relativa alla privacy policy dei servizi di video conferenza forniti dalle principali società che operano nel settore (Zoom, Riunioni Webex (Cisco), Riunioni (LogMeIn), Skype e Team (entrambi Microsoft) e Wire).

Dal report Noyb emerge che le privacy policy relative a tali servizi sono eccessivamente generiche e non trasparenti, e nessuna applicazione di video meeting sembra essere considerata completamente conforme al regolamento europeo in materia di data protection (Regolamento UE 679/2016 o GDPR).

I ruoli privacy non sono correttamente individuati (quello di Titolare del Trattamento e di Responsabile del trattamento) e vi sia assenza di collegamento tra categorie di dati, finalità del trattamento e la base giuridica per ogni finalità. Inoltre, nessuna tra le maggiori aziende fornitrici di servizi di video conferenza è sufficientemente trasparente sul tema della condivisione dei dati con terze parti.

Basti per questo citare l’illecita condivisione di dati personali anche sensibili tra Zoom e Facebook, che Facebook ultizza(va) per svolgere un’attività di profilazione degli utenti (senza il loro consenso) e per creare inserzioni pubblicitarie personalizzate.

Fondamentalmente queste applicazioni di video conferenza sfruttano diversi modelli di business:

1.   Un abbonamento opzionale a un servizio che può fornire funzionalità aggiuntive o il debug di alcune funzionalità di base (come il numero massimo di utenti simultanei su un server)

2.   Pubblicità (che può essere, sul telefono, in-app o off-app)

3.   Apparentemente gratuito. Ma in realtà non è vero perché quando il servizio è gratuito significa che il provider monetizza cedendo a terzi o trattando in altro modo i dati degli utenti.

Le informazioni raccolte non si limitano necessariamente a quanto direttamente fornito dall’utente ma possono estendersi ad altri tipi di dati tecnici che ne consentono l’identificazione (indirizzo IP, identificativo del dispositivo, cookie o tecnologie simili).

Secondo la CNIL è importante:

  • utilizzare soluzioni certificate da enti affidabili e terzi

  • evitare di scaricare l'applicazione da un sito web o da una fonte sconosciuta

  • utilizzare solo applicazioni per le quali il produttore indica chiaramente come i vostri dati vengono riutilizzati (nell'applicazione stessa o sul suo sito web, ad esempio);

  • leggere i commenti degli utenti nei forum di discussione o, dal telefono, nei negozi di applicazioni;

  • verificare che l'editore disponga di misure di sicurezza essenziali, come la crittografia delle comunicazioni end-to-end;

  • proteggere la tua rete Wi-Fi con una password forte abilitando la crittografia WPA2 o WPA3;

  • assicurarsi che l’antivirus ed il firewall siano aggiornati.

Di questi tempi il datore di lavoro si trova necessariamente a dovere effettuare una valutazione dei rischi derivanti dall’utilizzo di tecnologie che consentono la prosecuzione delle attività lavorative e una maggiore probabilità di incorrere in criticità che impattano sulla sicurezza della rete informatica e sui dati trattati.

Tali valutazioni dovranno essere annotate nel registro delle attività di trattamento (art. 30 GDPR), che dovrà essere necessariamente aggiornato, come del resto le informative privacy dei dipendenti in smart working.

Si tratta del documento contenente le principali informazioni relative alle operazioni di trattamento svolte dall’azienda e volto a dimostrarne l’accountability.

Un primo caso di utilizzo di Microsoft Teams per lo svolgimento delle udienze civili - Introduzione delle “udienze telematiche” a seguito del D.L. 18/2020 e dei provvedimenti della D.G.S.I.A.

Il 1 aprile 2020 ho ricevuto a mezzo PEC, quale procuratore di parte, la prima notifica di un provvedimento di fissazione udienza con la previsione dell’utilizzo di Microsoft Teams per la comparizione da remoto.

Riporto la parte dispositiva del provvedimento, emesso dal Tribunale di Parma, Sezione Fallimentare, che testualmente recita: “specifica che l’udienza si svolgerà ai sensi dell’art. 83 comma settimo lett. f) del D.L. n. 18 del 17.03.2020, attraverso l’utilizzo del programma teams e secondo le modalità operative indicate nella circolare del 12.03.2020”.

Si tratta con ogni evidenza di una tempestiva applicazione delle misure assunte di recente per consentire lo svolgimento dell’attività giurisdizionale con le dovute cautele socio- sanitarie.

E’ ormai noto che il Legislatore è intervenuto per disciplinare lo svolgimento delle udienze civili introducendo la possibilità che le stesse si tengano in via telematica, quanto meno, nell’attuale momento di emergenza sanitaria.

In particolare con il D.L. 18/2020 all’art. 83 co. 7 è stato, fra l’altro, previsto che “Per assicurare le finalità di cui al comma 6, i capi degli uffici giudiziari possono adottare le seguenti misure: f) la previsione dello svolgimento delle udienze civili che non richiedono la presenza di soggetti diversi dai difensori e dalle parti mediante collegamenti da remoto individuati e regolati con provvedimento del Direttore generale dei sistemi informativi e automatizzati del Ministero della giustizia. Lo svolgimento dell'udienza deve in ogni caso avvenire con modalità idonee a salvaguardare il contraddittorio e l'effettiva partecipazione delle parti. Prima dell'udienza il giudice fa comunicare ai procuratori delle parti e al pubblico ministero, se è prevista la sua partecipazione, giorno, ora e modalità di collegamento. All'udienza il giudice dà atto a verbale delle modalità con cui si accerta dell'identità dei soggetti partecipanti e, ove trattasi di parti, della loro libera volontà. Di tutte le ulteriori operazioni è dato atto nel processo verbale;

La norma è di semplice lettura ma, come spesso si verifica nella più recente produzione normativa, demanda ad una fonte di rango inferiore l’adozione degli interventi esecutivi, con il rischio di una frammentazione regolamentare foriera di dubbi interpretativi e applicativi.

Infatti, l’Autorità nominata, il D.G.S.I.A (Direzione gestione sistemi informatizzati automatizzati del Ministero di Giustizia) si è affrettata a fornire le prime linee guida operative già in data 9 marzo 2020 offrendo un “vademecum” operativo, destinato perlopiù ai Magistrati che dovranno attivare le “stanze virtuali” e, successivamente, ha fornito ulteriori chiarimenti e prescrizioni con provvedimento del 20 marzo 2020.

Quest’ultimo provvedimento organizzativo prevede nello specifico che “nell’ipotesi prevista dall’art. 83, comma settimo, lett. f), del Decreto Legge 17 marzo 2020, n. 18, le udienze civili possono svolgersi mediante collegamenti da remoto organizzati dal giudice utilizzando i seguenti programmi attualmente a disposizione dell’Amministrazione e di cui alle note già trasmesse agli Uffici Giudiziari (prot. DGSIA nn. 7359.U del 27 febbraio 2020 e 8661.U del 9 marzo 2020):

Skype for Business;

Teams.

I collegamenti effettuati con i due programmi su dispositivi dell’ufficio o personali utilizzano infrastrutture di quest’amministrazione o aree di data center riservate in via esclusiva al Ministero della Giustizia.”

Un primo punto fermo della nuova procedura viene dunque fissato e consiste nell’adozione degli applicativi autorizzati per l’espletamento del rito da remoto. Skype for Business e Microsoft Teams sono infatti gli unici due software previsti e autorizzati dal Ministero di Giustizia. Nel silenzio dei provvedimenti, si ritiene che la scelta fra quale dei due tools utilizzare sia rimessa al singolo Magistrato. L’altro “pilastro” della nuova procedura è la cosiddetta “stanza virtuale” che dovrà essere creata e organizzata dal Magistrato al quale pure è demandato il delicato incombente tecnico – informativo di comunicare alle parti l’invito all’udienza.

Vista la terminologia piuttosto generica adottata dal D.G.S.I.A. nel vademecum del 9 marzo 2020, laddove si parla di invito è chiaro che, di fatto, si intenda comunicazione se non anche notificazione, posto che le norme processuali sul punto andranno, a mio avviso, scrupolosamente osservate.

Attendiamo, a questo punto l’auspicabile emanazione di ulteriori chiarimenti da parte delle Autorità preposte e segnaliamo la disponibilità dei primi corsi formativi on line (ad es. su Consolle Avvocato). Con l’avvertenza di prestare la massima attenzione all’emissione di specifiche circolari da parte degli Uffici circondariali o distrettuali.

Da ultimo, segnalo che l’art. 83 del Decreto Legge 17 marzo 2020, n. 18, al co. 7 lett h) prevede “lo svolgimento delle udienze civili che non richiedono la presenza di soggetti diversi dai difensori delle parti mediante lo scambio e il deposito in telematico di note scritte contenenti le sole istanze e conclusioni, e la successiva adozione fuori udienza del provvedimento del giudice.”

Benchè, allo stato, non si abbia ancora diretta notizia della ricorrenza di questa casistica, che prevede di fatto la soppressione di talune udienze, è evidente che una simile eventualità si presta a più di un dubbio di legittimità e lascia intravedere preoccupanti scenari di limitazione del contraddittorio e compressione dei diritti di difesa.