In questa situazione che ci troviamo a vivere per la diffusione del Coronavirus, l’Italia è entrata nel mondo dello Smart Working come mai prima d’ora. Non gradualmente, non a piccoli passi. Direttamente di testa, ad occhi chiusi e con rincorsa dal trampolino più alto.
Il ricorso massiccio al lavoro agile (per dirlo all’italiana) per fronteggiare l’emergenza può essere una grande opportunità, per aziende e lavoratori, per scoprire i benefici derivanti da una forma di svolgimento della prestazione di lavoro che si basa sul rapporto di fiducia per generare produttività, ma anche più flessibilità nella gestione del tempo e dello spazio di lavoro.
Tuttavia, il modo necessariamente improvvisato con cui il sistema produttivo si è avvicinato a questo strumento nasconde diverse insidie: le aziende e le persone potrebbero non essere pronte a gestire correttamente lo smart working. Uno dei temi dove questa impreparazione potrebbe emergere in modo più evidente è la gestione della sicurezza dei dati aziendali.
Ecco perché abbiamo pensato di fornire una specie di piccolo riassunto su cosa si può fare e a cosa bisogna stare attenti quando si parla di Telelavoro e Privacy dei dati personali della cooperativa.
In linea generale, meglio di no. Questo perché il datore di lavoro, come si evince dallo Statuto, non può accampare richieste o imporre procedure di sicurezza sulla dotazione personale dei dipendenti. E’ una prevaricazione della sfera personale del dipendente, anche se il computer viene utilizzato come mezzo per svolgere il proprio lavoro. La persona fisica è liberissima di tenere il proprio pc come gli piace, anche senza antivirus o password di accesso. Sicuramente è un atteggiamento quantomeno autolesionista ed incosciente, ma viviamo in un paese libero. E soggetto a data breach, violazioni e furti informatici ad ogni secondo dispari.
I computer di comprovata proprietà della cooperativa o della società invece sono soggetti a regolamento aziendale e devono essere equipaggiati al meglio per far fronte a possibili brecce nella sicurezza, tenendo al sicuro i dati personali degli utenti e dei lavoratori ovunque il pc si trovi.
Sul fattore controlli, anche riguardanti la dotazione aziendale o il servizio di posta aziendale, invitiamo sempre alla cautela massima visto che si tratta di un argomento delicato. Su questo faremo uscire nei prossimi giorni un altro articolo dedicato.
Ottimo. Sulla dotazione aziendale valgono tutte le linee guida ed i disciplinari interni della società per l’uso degli apparati informatici nel trattamento dei dati. Se il dipendente non vi si adegua o c’è prova di mancanza totale di osservanza delle regole aziendali la cooperativa si può rivalere su di lui in caso di danno.
Attenzione, però. Prima bisogna comunque dimostrare che la società ha fatto e adottato il supporto di tutte le misure necessarie e commisurate alla protezione dei dati che ospita. Quindi l’uso di password con requisiti minimi di sicurezza, cambiate una volta ogni tot, antivirus con licenza, connessione sicura tramite VPN o sistema cloud con accesso personale del dipendente e tutte le altre misure ritenute necessarie.
Come detto prima, siamo di fronte all’emergenza, quindi bisogna fronteggiare anche il caso dell’uso dei pc personali. Come ci si tutela?
La VPN è una “connessione dentro la connessione”. Serve per creare una specie di tunnel chiuso e sicuro dal computer in uso al server o alla rete della società. Sfrutta degli algoritmi particolari di cifratura e autorizzazioni che gli consentono di operare schermando la connessione del pc al server ed evitare problemi di sicurezza.
Per mantenere sicuro il perimetro informatico senza ledere i diritti dei lavoratori si può adoperare un cloud condiviso (purchè sia compatibile con i requisiti privacy, specie se si trattano dati personali). Il documento su cui si lavora può essere tenuto online in uno spazio virtuale di chiara proprietà dell’azienda, che deve fornire anche la licenza, rigorosamente aziendale, anche ai dipendenti. Così facendo la società può tutelare i dati nello spazio virtuale con password di accesso obbligatorie, scansioni degli accessi già integrate nel sistema cloud ed un sistema di permessi utile a scongiurare accessi non autorizzati.
Si può utilizzare anche google drive con i relativi strumenti di google Doc ma attenzione, è meglio non impiegare la suite Google se si ha a che fare con dati personali di utenti o lavoratori.
Inoltre, il lavoro dovrebbe essere svolto esclusivamente tramite piattaforma online, il dipendente non dovrebbe scaricare o lasciare niente sul desktop del proprio pc.
Prima di consentire i collegamenti in remoto (o al cloud) bisogna cercare di capire se i dipendenti hanno sul proprio pc un sistema operativo non più supportato dalla casa produttrice. Nel caso di windows questo vuol dire windows XP, Vista e 7. Dare accesso alla rete aziendale a questi sistemi operativi vuol dire mettersi in pancia una bomba ad orologeria perchè una volta cessato il supporto, anche gli antivirus già installati non sono più ottimali e lasciano il pc del dipendente scoperto e prono a qualunque tipo di attacco.
Se non si è sicuri, se il dipendente dichiara di avere un sistema operativo obsoleto, o l’antivirus gratuito, deve essere premura della società fornire un prodotto sicuro per far operare il dipendente al meglio.
La protezione base di windows, avast, norton e qualunque altro antivirus con licenza gratuita non è sufficiente.
Se serve una VPN non andate ad acquistarne una in un sito sconosciuto. Affidatevi al vostro tecnico, se la società ne ha uno, oppure a marchi noti in fatto di sicurezza, documentatevi ed informatevi sul software che verrà consigliato ai lavoratori per svolgere la loro attività prima di optare inconsapevolmente per una truffa informatica mascherata.
Per consentire un proficuo svolgimento della prestazione lavorativa in modalità agile, in questa situazione d’emergenza potrà rendersi necessario utilizzare i PC personali dei lavoratori stante l’impossibilità di movimento e le difficoltà nel fornire velocemente strumenti aziendali; l’azienda dovrebbe fornire l’assistenza tecnica informatica e software per tutta la durata necessaria. La relativa assistenza tecnica è a carico dell’azienda, ma grava sul lavoratore l’obbligo di garantire la riservatezza dei dati nel rispetto del disciplinare tecnico in materia di privacy aziendale e delle istruzioni consegnate quale incaricato del trattamento dati.