Tag Archives: smart working

Smart working: privacy e sicurezza nel contesto dell’epidemia di COVID-19

24 Apr , 2020,
esseti
, , , , , , ,

L’emergenza del COVID-19 ha accelerato l’adozione, su tutto il territorio nazionale, delle misure di lavoro agile, il cosiddetto “smart working” (introdotto per la prima volta dalla Legge n. 81 del 2017), al fine di evitare gli spostamenti e contenere i contagi.

blogger-336371_1920

A causa del modo improvvisato con cui il sistema produttivo italiano si è avvicinato a questa modalità di lavoro, le aziende e le persone potrebbero non essere pronte ad avvalersene correttamente. Il “lavoro agile”, infatti, richiede un sapiente utilizzo dell’innovazione digitale, una gestione integrata ed un’evoluzione dei modelli organizzativi aziendali di cui la privacy è parte integrante, per via del ruolo di primo piano rivestito dalla tecnologia.

Le modalità flessibili di lavoro smart, in generale, consentono di migliorare la produttività delle imprese e di usufruire di diversi incentivi fiscali, oltre a permettere ai lavoratori una migliore conciliazione tra lavoro e famiglia, producendo pertanto maggiori opportunità per le imprese e per loro stessi. Dall’altro lato, però, l’improvviso utilizzo dello smart working espone a maggiori rischi informatici i dispositivi aziendali, ma anche quelli personali, spesso usati in questa circostanza per necessità lavorative.

A partire dall’inizio del contagio del Coronavirus sono in constante crescita attacchi informatici come ad esempio l’invio di e-mail sospette, tutte riferite all’attuale situazione d’emergenza, in cui vengono richieste credenziali e dati personali (phishing) o che contengono allegati o link dannosi. Questo dato evidenzia quanto i criminali informatici, sfruttando le notizie globali e la situazione d’emergenza sanitaria, si approfittano delle persone che cercano informazioni sul contagio e che sono per questo più propense a cliccare su link potenzialmente dannosi o a scaricare allegati che si rivelano indesiderati.

In questa condizione, il datore di lavoro è tenuto a prestare adeguata attenzione a diversi aspetti inerenti l’uso delle nuove tecnologie. Deve continuare a mantenere, seppur a distanza, contatti con i propri dipendenti portando avanti il lavoro quotidiano, nel rispetto dei limiti fissati dallo Statuto dei Lavoratori. L’articolo 4 ha una particolare rilevanza quando si parla di lavoro agile, perché fissa un principio cardine: sono vietati l’installazione e l’uso di strumenti tecnologici e sistemi in grado di controllare a distanza lo svolgimento dell’attività lavorativa del dipendente, a meno che il ricorso a questi non sia stato prima siglato con un accordo sindacale o sia autorizzato dall’Ispettorato Territoriale del Lavoro.

Lo Statuto, nato nel 1970, è stato interpretato in maniera evolutiva dalla giurisprudenza e dagli orientamenti del Garante della Privacy e ha finito per comprendere anche un controllo sugli strumenti digitali dei lavoratori: dai sistemi di rilevazione della posizione fino ai software che monitorano in maniera costante l’uso che viene fatto di internet. La riforma del 2015 (Jobs Act) ha poi aggiunto che, anche se lo strumento di controllo a distanza è lecitamente installato, il datore di lavoro deve preventivamente informare il lavoratore agile sulla possibilità di eseguire controlli sulla sua prestazione.

Non c’è, comunque, un divieto “assoluto” di controllo sul lavoratore da parte del datore; se quest’ultimo ha il fondato sospetto che il dipendente stia commettendo degli illeciti, può svolgere controlli mirati, anche a distanza, a patto che siano proporzionati e non invasivi, e che riguardino beni aziendali (il PC fornito dal datore, la casella di posta aziendale, etc.) rispetto ai quali il dipendente non ha alcuna “aspettativa di segretezza”, dal momento che gli strumenti aziendali non possono essere usati per motivi personali.

Tuttavia, il datore di lavoro deve anche occuparsi della sicurezza dei dati e delle reti aziendali, a tutela dei propri dipendenti, clienti e fornitori (rispettando adeguati standard di sicurezza di data protection e cyber security). I dipendenti e i collaboratori, dovrebbero avere precise istruzioni, impartite dal titolare, per la salvaguardia dei dati personali che sono autorizzati a trattare nello svolgimento della propria mansione lavorativa. Non tutte le aziende, però, hanno direttive e procedure di sicurezza precise per lo smart working, soprattutto quando questo non è stato mai previsto prima d’ora.

L’errore più frequente nell’usufruire delle modalità di lavoro agile, utilizzando dispositivi personali e non forniti dall’azienda, è quello di trascurare le misure di sicurezza, non adottando sistemi antivirus e sottovalutando i rischi connessi alla navigazione in rete (accesso a siti pericolosi, download, etc.): uno scenario potenzialmente pericoloso se si accede, in questo modo, ai sistemi e ai server aziendali da remoto.

Anche in questo periodo di emergenza sanitaria, le misure di sicurezza adeguate che il titolare del trattamento dovrebbe attuare per garantire la tutela dei dati personali, dovranno rispettare il Regolamento UE 2016/679 (GDPR). Perciò il datore di lavoro dovrà attuare tutte le procedure per l’attività lavorativa dello smart working, seppur non precedentemente previste, in modo da limitare il rischio per i diritti e le libertà fondamentali degli interessati.

Una risposta concreta a tali problemi, seppur non obbligatoria, è rappresentata dalla compilazione e dall’aggiornamento della Valutazione d’Impatto (la “DPIA” — art. 35 GDPR), ovvero un’analisi delle necessità, della proporzionalità, nonché dei relativi rischi, allo scopo di approntare misure idonee ad affrontarli.

In questa forma di lavoro agile non si può non far riferimento alla cyber security, poiché innumerevoli informazioni vengono scambiate e condivise online. I dati particolari, le proprietà intellettuali e i documenti riservati potrebbero subire furti, perdite accidentali, accessi abusivi, diffusioni dolose o colpose ed essere quindi oggetto di “data breach”.

Oltre ad affidarsi a VPN (Virtual Private Network) sicure e a provider affidabili, anche in questo caso, la formazione dello smart worker costituirebbe un’efficace misura di sicurezza, poiché come prescritto dall’art. 32 del GDPR:

“Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Occorrerà considerare questa diffusione epidemica come un evento che ha interrotto l’abituale continuità lavorativa e, conseguentemente, ha minacciato i sistemi informativi. È auspicabile trarne un insegnamento per implementare sistemi efficaci al fine di rendere maggiormente operativa l’azienda già a partire dalla “Fase 2”, attivando una corretta progettazione e una maggiore cultura della sicurezza fra i dipendenti.

Il lavoro ai tempi dello smart working

25 Mar , 2020,
esseti
, , , , ,

Una serie di strade aperte su cui riflettere e orientare le future scelte strategiche.

L’impatto sociale e il ruolo della tecnologia

E finalmente quasi tutti conobbero lo “Smart Working”….

Non è una storiella ma la realtà che abbiamo o stiamo vivendo tutti.

In realtà è già da tempo che  questo modo di lavorare viene praticato in molte aziende italiane.

Quelle che hanno potuto applicare questo modello non necessariamente avevano acquisito capacità tecnologiche particolari, ma hanno sicuramente sviluppato e acquisito un modello organizzativo e manageriale adatto all’applicazione di questa modalità lavorativa.

Certo che l’emergenza attuale data dalla diffusione dell’epidemia da COVID-19 ha allarmato molte Aziende sul fronte dell’infrastruttura e degli strumenti necessari ad organizzare, o meglio, riorganizzare il lavoro dei propri dipendenti.

E su questo aspetto c’è poco da fare. Se non ci sono gli strumenti è inutile già affrontare il problema.

Questo però non è il problema, per fortuna.

 

La tecnologia così pervasiva nelle nostre vite, ormai da diverso tempo, non è stata però ancora capace di convincere molte imprese a rivedere il modo di pensare il “rapporto di lavoro”.

In effetti pensare che la tecnologia ci inviti a ripensare e riflettere su alcuni nostri modelli di vita può sembrare presuntuoso se non addirittura minaccioso.

Bisogna pensare invece a come la situazione sconvolgente che stiamo vivendo oggi, ci impone di riflettere sulle sfide che ci vengono dettate dalle crisi.

Come diceva infatti Einstein  

È nella crisi che nasce l’inventiva, le scoperte e le grandi strategie.

Ed è proprio la tecnologia stessa che ci sfida. Ci sfida a confutare le sue supposizioni. E questa è una capacità umana e non tecnologica.

In questi giorni non sono infatti mancante polemiche, discussioni e scetticismi attorno a questo tema. Abbiamo visto le difficoltà delle persone che hanno dovuto stravolgere da un giorno all’altro la propria abitudine lavorativa, molte imprese strutturalmente impreparate a giocare la partita su questo nuovo campo, le sollevazioni politico-sociali sulle modalità di “controllo” del lavoro remoto.

Anche lo stesso termine “Smart Working”, ennesima anglosassonizzazione dei concetti, viene messo sotto accusa per l’inesattezza, inappropriatezza o addirittura incoerenza, con il quale viene usato, forse a voler spostare il focus “dal” problema perché affrontarlo è molto più difficile.

“La vera crisi è l’incompetenza. Il più grande difetto delle persone e delle nazioni è la pigrizia nel trovare soluzioni.”, come appunto ci ricorda ancora Einstein.

Inutile incrementare il sospetto che lo smart working (continuiamo a chiamarlo così) sia una misura inapplicabile perché non si può facilmente controllare l’attività lavorativa, perché lavorare senza essere suscettibili di una verifica visiva real time comporti una inevitabile perdita di efficienza o peggio una falsa rendicontazione di attività.

Non è importante quanto tempo viene dedicato al lavoro, ma gli obiettivi che si riesce a raggiungere impiegando possibilmente meno tempo e risorse di quelle che si potrebbe prevedere.

L’aiuto della tecnologia dovrebbe essere questo. O almeno quello che noi dovremmo tirar fuori dalla tecnologia.

Applicare questo nuovo modello di lavoro significa adottare nuovi modelli organizzativi, essere capaci di individuare quei processi e quelle attività che effettivamente possono adattarsi a questo modello, sviluppare una cultura lavorativa ben lontana dalla classica visione ore/salario.

Una visione che deve essere acquisita sia dai lavoratori che dai datori di lavoro.

E’ bene ricordare poi che il nostro ordinamento disciplina il LAVORO AGILE , come modello adottato per incrementare la competitività e agevolare la conciliazione dei tempi di vita e di lavoro

Un lavoro che può essere organizzato per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con il possibile utilizzo di strumenti tecnologici

 Le tutele contrattuali non sono modificate rispetto all’attività svolta tradizionalmente e sono espressamente previste modalità di tutela della salute e della sicurezza dei lavoratori oltre alla messa a disposizione di eventuali strumenti tecnologici previsti per lo svolgimento dell’attività. Secondo la Legge 81/2017 il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore.

Le cosiddette modalità di controllo, sono definite necessariamente con accordo tra le parti (dipendenti e datore di lavoro) con indicazione delle fasce orarie di disconnessione.

E’ chiaro allora come l’improvvisa applicazione di una modalità non precedentemente concordata, determini perplessità e interrogativi, soprattutto perché si è chiamati  a svolgere un processo di lavoro e un’organizzazione delle fasi operative ben diverse da come venivano svolte un giorno prima.

Non sappiamo ancora se la terapia d’urto condurrà alla scoperta o alla realizzazione di grandi strategie di cui parlava Einstein, ma sicuramente potremmo vedere presto un nuovo modo di approcciare il rapporto di lavoro, dove responsabilizzazione, motivazione e autonomia saranno sicuramente più rilevanti.

La Legge 81 del 2017 – Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato

Le opportunità e le strategie da cogliere tra sicurezza e professionalità

Gli aspetti da considerare sui quali riflettere sono però molteplici e senza dubbio uno dei principali è quello legato alla Sicurezza dei Dati.

Penso che questo sia l’aspetto più interessante e più aderente all’attuale realtà, collegato all’applicazione del lavoro agile in maniera sempre più ampia e diversificata.

Le aziende travolte dall’emergenza in atto, potrebbero non aver prestato la dovuta attenzione agli aspetti legati alla cyber security e protezione dati personali.

Questo ovviamente è legato ad un fatto contingente e imprevisto.

Ma il problema esiste e anzi deve essere sicuramente gestito in un contesto di normale applicazione, come probabilmente si potrebbe verificare in un imminente futuro.

Non basta quindi la realizzazione dell’infrastruttura tecnologica ma serve anche un investimento aziendale legato alle misure di sicurezza, sia sul alto organizzativo che delle responsabilità.

In sintesi sarà necessario considerare almeno:

Le misure relative alla sicurezza dei sistemi utilizzati da remoto;

Le politiche delle organizzazioni per l’applicazione del lavoro agile;

Le misure a carico del lavoratore agile.

3

Le Aziende che già erano organizzate con questa modalità lavorativa, hanno dotato i dipendenti di applicativi pronti per l’applicazione remota, in una logica perfettamente integrata con l’intera gestione aziendale, messo a punto dispositivi telefonici virtuali (software) adeguati allo scopo, o utilizzato  portali per la gestione del tempo lavorativo (rilevazione presenze, ecc.), in un contesto gestito in modo formalmente ineccepibile.

Tuttavia sarà inevitabile mettere a punto un sistema organizzativo che oltre alla creazione della struttura sia in grado di mantenerne l’operatività e garantirne al continuità.

Solo così possono poi essere migliorati e messi a punto tutti gli altri aspetti di monitoraggio anche sul fronte della sicurezza.

E’ quindi un problema non indifferente, quello che si è venuto a creare in questi giorni  con la spinta ad utilizzare l’attività in smart working senza però avere idea di come affrontare in modo serio la questione nel suo complesso, mettendo di fatto a rischio i dati aziendali.

Se i dipendenti si trovano ad utilizzare i loro dispositivi personali per accedere ai Sistemi aziendali si apre un rischio che potrebbe essere molto più oneroso della momentanea interruzione delle attività lavorative.

Banalmente, l’accesso ai sistemi aziendali, include le connessioni di rete (ADSL, WiFi, ecc.)  che magari restano impostate dagli utenti privati, sui parametri standard (incluse le password amministrative, disponibili con una semplice ricerca su Google).Inoltre può succedere che  non si adottano (o non in maniera adeguata) sistemi antivirus/antimalaware  e si sottovalutano i piccoli rischi normalmente connessi alla navigazione in rete e accettati con ingenuità (accesso a siti pericolosi, download, ecc.).

Per evitare quindi questi primi evidenti rischi di sicurezza, l’attivazione di una connessione VPN è il primo protocollo da adottare per realizzare quel canale di comunicazione “sicuro” tra il dispositivo remoto e l’azienda, attraverso il quale si accede direttamente agli applicativi ed ai dati aziendali.

Ciò richiede competenza e attenzione e non può essere improvvisato.  Mettere in collegamento diretto il dispositivo remoto col sistema informativo aziendale significa anche minimizzare  o tenere sotto controllo il rischio ad esempio che un software malevolo infetti il dispositivo remoto e da qui l’intero sistema aziendale.

Primo passo essenziale è quindi quello di definire e condividere un regolamento/procedura aziendale sull’applicazione del lavoro agile nel rispetto dei principi collegati con le normative di riferimento (lavoro e privacy).

E’ evidente poi che tutte le risorse umane coinvolte nell’applicabilità di questa forma di lavoro, siano dotati di mezzi e dispositivi a uso aziendale opportunamente configurati e gestiti secondo norme di sicurezza idonee e coerenti con le diverse responsabilità identificate in maniera chiara e regolamentata a priori.

Sarà quindi opportuno attivare un piano di lavoro condiviso per sapere “chi fa, che cosa” alla luce di un cronoprogramma comune, facilitato magari dall’uso di strumenti (es. Microsoft Outlook, o Google Calendar, ecc) tali da consentire da un lato la pianificazione del lavoro, e dall’altro la visibilità di ciascuno, coinvolto da remoto.

Ciò che infine è fondamentale è la presenza di figure essenziali di coordinamento delle attività dei gruppi che lavoro in modalità “smart working”. In questo contesto il lavoro di gruppo e le capacità di gestire e organizzare il gruppo è la chiave di volta per il suo funzionamento.

Organizzare un processo di lavoro efficace e produttivo a distanza richiede una capacità specifica per alcuni aspetti molto diversa da quella applicabile in un ambito tradizionale in presenza.

Anche questo aspetto sarà sicuramente uno degli skills professionali che probabilmente nel prossimo futuro verrà richiesto da molte imprese.

Emergenza coronavirus può insegnare.

Cerca nel sito

Articoli recenti

Categorie

Articoli

Tag

agevolazioni agevolazioni investimenti tecnologici Big Data Analytics Business Strategy Cloud competenze comunicazione consulenza Cybersecurity digitalizzazione Digital Transformation finanziamenti firewall e reti formazione GDPR gestione aziendale hacker ICT imprese incentivi aziendali industria 4.0 innovazione investimenti IoT iperammortamento privacy privacy policy Rete Reti risorse umane SEo Sicurezza sicurezza dati sicurezza hardware sistema gestione Siti web Social Soluzioni IT Tecnologie trasformazione digitale Virtual Data Center Virus voucher digitalizzazione web web marketing