I dati sono un asset strategico di primaria importanza per ogni organizzazione, e il mercato sta offrendo un impiego sempre più diffuso dei cosiddetti sistemi di Data Loss Prevention, ovverosia soluzioni volte ad evitare il furto o la perdita di informazioni particolarmente sensibili. Per alcune misure di questo tipo (soprattutto nell’ambito delle Next-Gen DLP) non è infrequente che possano riguardare più o meno direttamente l’attività degli operatori e dunque consistere, sostanzialmente, in uno di quegli strumenti da cui possa derivare il controllo a distanza dei lavoratori secondo l’art. 4 Statuto dei Lavoratori (L. 300/1970).
Affrontare tale tematica porta, nella maggior parte dei casi, a due soluzioni opposte ma comunque errate.
La prima, è evitare aprioristicamente di ricorrere a tali sistemi in tutte quelle ipotesi in cui possano andare a monitorare (in modo diretto o indiretto) i comportamenti degli operatori onde evitare di affrontare il problema e il conseguente rischio di compliance. Soluzione tranchant, che comunque espone l’organizzazione al significativo rischio di non essere adeguata allo “stato dell’arte” della sicurezza con tutte le conseguenze del caso, anche in tema di compliance. L’art. 32 GDPR, infatti, prescrive che per le attività di trattamento dei dati personali le misure di sicurezza adeguate al rischio siano parametrate anche alla tecnologia disponibile sul mercato.
La seconda guarda invece all’art. 4 co.2 dello Statuto dei Lavoratori, tentata da quell’esclusione dei limiti autorizzativi per tutti gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”. Certo, il sistema di DLP va ad integrarsi con le soluzioni di sicurezza adottate nell’ambito dei sistemi informatici aziendali ma può ben rientrare fra quelle “modifiche” citate dalla nota sibillina del 18 giugno 2015 del Ministero del Lavoro per cui sussiste comunque l’esigenza di ricorrere ad un accordo sindacale o l’autorizzazione dell’ITL.
La soluzione che al momento appare maggiormente adeguata è invece quella già offerta dall’art. 4 co. 1 dello Statuto dei Lavoratori, per cui il sistema di DLP va preventivamente autorizzato o tramite accordo sindacale o con provvedimento da parte dell’ITL, con modalità di funzionamento conformi alla normativa in materia di protezione dei dati personali.
Appare indubitabile che le attività svolte tramite tali strumenti ben rientrano nell’elenco di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35.4 GDPR, ricorrendo i parametri di monitoraggio sistematico, dati relativi a interessati vulnerabili e uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative indicati dal WP248. Ricorre infatti l’ipotesi di cui al n. 5 del citato elenco, ovverosia “Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”.
Lo svolgimento della valutazione d’impatto è la chiave di volta che può consentire al titolare di riscontrare e dare evidenza di tutti i presidi posti a tutela del rispetto dei principi del GDPR, innanzitutto per la liceità del trattamento, ricercandola nel rispetto dello Statuto dei Lavoratori, oltre che per consentire la corretta selezione dei profili applicativi di funzionamento. Inoltre, in tale occasione è possibile svolgere un più ampio riesame della documentazione correntemente in uso e il relativo aggiornamento delle istruzioni per gli operatori (in forma di incarico, disciplinari d’impiego, istruzioni operative o anche regolamenti aziendali) che definiscono, fra l’altro, l’uso accettabile dei dispositivi e della rete aziendale e l’attribuzione di ruoli e responsabilità, elementi fondamentali per la sicurezza delle informazioni.
L’approccio di legal design all’applicazione dei sistemi Next-Gen deve dunque avere un carattere necessariamente pragmatico ed operativo, non potendo prescindere dal contesto e dall’analisi del funzionamento tecnico, con puntuale individuazione delle criticità e delle soluzioni o delle alternative prospettabili.
