La sempre crescente commercializzazione massiva di apparati di comunicazione, anche a basso costo, con metodi di tariffazione agevolata per l’accesso alla rete rende estremamente appetibile l’utilizzo di dispositivi mobili di telefonia (smartphone, tablet) che, oramai, hanno acquisito le stesse capacità e funzionalità dei dispositivi cd. fissi, conducendo all’instaurazione di un mondo sempre più interconnesso.
La rete Internet, con il suo pervasivo sistema di comunicazione globale, ha contribuito ad eliminare molteplici barriere fisiche e non, favorendo la creazione di uno spazio informativo che fonde telefonia, sistemi di comunicazione, personal computers, elettrodomestici “smart” e i tanti devices indossabili (W.Y.O.D., id est wear your own device) o trasportabili (B.Y.O.D., id est bring your own device) che utilizzano il web quale collante omogeneo (cfr. La regolamentazione di Internet tra libertà e censura avv. Federica Federici in Il diritto del web, Rete, Intelligence e Nuove Tecnologie).
Le scelte tattiche e le tecnologie di marketing di collocazione sul mercato di prodotti low-cost hanno avuto la indiscutibile valenza di influenzare le scelte di persone che, anche nel proprio ambito lavorativo, hanno la possibilità di usufruire dei propri dispositivi mobili per l’adempimento delle proprie mansioni.
Ne deriva che nel presente contesto in cui si assiste all’evoluzione delle Advanced Information Technologies (AITs), da ultimo con l’imminente introduzione della rete 5G, anche il mondo del lavoro risulta particolarmente influenzato, avendo le imprese ridefinito le proprie strategie aziendali e i modelli di business.
Al fine di migliorare e velocizzare le prestazioni lavorative, in un’ottica di raggiungimento di livelli sempre più elevati di smart working, può essere prevista una diversa modalità di esecuzione del rapporto di lavoro subordinato, che si sostanzia nell’assenza di vincoli di tempo o di spazio in favore di un’organizzazione cd. “per obiettivi”, lasciando al lavoratore o al collaboratore maggiore libertà organizzativa a vantaggio della produttività, favorendo il cd. homeworking.
Non solo, l’utilizzo di dispositivi personali da parte dei lavoratori – sia all’interno che all’esterno dei luoghi di lavoro – comporta che il lavoratore non reca seco ulteriori dispositivi dedicati all’attività lavorativa e, conseguentemente, il datore di lavoro non dovrà sostenere ulteriori costi di acquisto, di sostituzione, di aggiornamento, di connessione di rete, restando questi a carico del lavoratore, dovendo verificare, eventualmente, le effettive capacità dei singoli dispositivi e la copertura di rete nel luogo ove lo stesso venga adoperato.
A fronte di indiscussi benefici, rappresentati dall’aumento di produttività, stimolo all’innovazione, maggiore efficienza conseguita dagli operatori che utilizzano i dispositivi in discorso, si colloca, altresì, la necessaria considerazione sui rischi legati all’utilizzo promiscuo del device sia per scopi professionali che personali, risultando ormai dissolto il confine tra vita privata e vita lavorativa.
L’impresa inevitabilmente si trova esposta al pericolo di perdere il controllo sulle proprie risorse informatiche e anche sulle informazioni che costituiscono anch’esse “patrimonio” aziendale. Si pensi, ad esempio, alla possibile perdita accidentale del dispositivo, alla manomissione o all’uso improprio dello stesso.
A tal riguardo, il datore di lavoro, nella qualità di “titolare del trattamento”, dovrà adottare una politica di protezione dei dati personali, soprattutto alla luce del Regolamento UE 2016/679, applicabile a decorrere dal 25.05.2018, e in Italia dell’ancora vigente D.lgs. n. 196/2003 (Codice in materia di protezione dei dati personale, che ha abrogato la l. n. 675/1996, di recepimento della Dir. 95/46/CE, detta “Direttiva Madre”, che aveva introdotto per la prima volta nel nostro ordinamento la disciplina in materia di protezione dei dati personali) nonché delle Linee Guida, già elaborate nel 2015 dal Garante Europeo della protezione dei dati (European Data Protection Supervisor, Guidelines on the protection of personal data in mobile devices used by European Institutions, December 2015), che, seppure specificamente destinate agli organi UE, appaiono utili per definire le modalità di utilizzo dei BYOD all’interno delle realtà aziendali, in conformità con il Regolamento CE n. 45/2001 del 18.12.2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi UE nonché la libera circolazione di tali dati.
Come sostiene Wojciech Wiewiórowski, nominato il 05.12.2019 Garante della Privacy europeo «le comunicazioni elettroniche sono un settore complesso e dinamico della tecnologia e svolgono un ruolo fondamentale per la maggior parte di noi nelle nostre vite quotidiane professionali e personali. L’utilizzo dei dispositivi mobili aggiunge ulteriore complessità. I nostri orientamenti sono finalizzati ad assistere le istituzioni dell’UE nel rispetto dei loro obblighi di protezione dei dati. Tuttavia, possono rivelarsi utili per qualunque organizzazione interessata alla protezione dei dati in questi due ambiti poiché il regolamento sulla protezione dei dati in vigore per le istituzioni dell’UE è simile per molti aspetti alla direttiva sulla protezione dei dati, recepita nel diritto nazionale degli Stati membri».
Le predette linee-guida prevedono a) una Terza Sezione, comprendente “raccomandazioni” (Recommendations) che specificano il contenuto che la “mobile devices policy” deve prevedere; b) una Quarta Sezione che contiene una lista di misure di sicurezza (Security measures to protect personal data processed in mobile devices), al fine di contrastare i rischi associati all’utilizzo dei dispositivi mobili; c) la Quinta Sezione affronta diverse questioni giuridiche riguardanti l’utilizzo dei dispositivi mobili (Data protection issues related to the processing of personal data through mobile devices); d) la Sesta Sezione, infine, involge la descrizione di taluni rischi associati alla fruizione dei dispositivi in parola (Risks for personal data processed by mobile devices).
In ragione degli accorgimenti necessari per poter limitare e minimizzare i rischi di “data breach”, soprattutto in ambito lavorativo, sarà necessario provvedere ad una puntuale e costante preparazione da parte dei dipendenti – e anche dei datori di lavoro – circa le modalità di utilizzo dei BYOD (art. 29 GDPR), contemperando, contestualmente, le esigenze di libertà degli stessi lavoratori, in ossequio altresì con i dettami di cui alla Convenzione Europea dei Diritti Umani.
Il datore di lavoro, dal canto suo, dovrà operare un’analisi valutando la necessità del trattamento, in ossequio al principio di proporzionalità e di trasparenza, fin dalla fase del recruitment, con la consultazione, ad esempio, dei profili social del candidato che, seppure pubblici, non appare giustificata, dovendosi distinguere la tipologia di social, se funzionale al business (es. Linkedin) o se spiccatamente privato (es. Facebook); nella fase successiva del trattamento durante il rapporto; sul monitoring dei dati sull’uso dei sistemi aziendali (id est “controllo del lavoratore” ex art. 4 Statuto dei lavoratori) e per i Data processing in funzione di monitoring dell’uso dei dispositivi al di fuori dell’ambito di lavoro (homeworking e BYOD), atteso che il domicilio informatico incide fortemente sulle possibilità di controllo dei cd. BYOD, per l’inversione della relazione di proprietà e di conseguenza la natura privata del domicilio informatico derivante.
Si osservi, tuttavia, anche prima dell’introduzione del GDPR, la rilevanza assunta in ambito sanzionatorio al livello europeo, in ipotesi di carenza di discipline specifiche in tema di trattamento di dati personali, potendosi citare, a mo’ di esempio, il decisum del 05.09.2017, della Grand Chamber della CEDU (B. c. Romanie), ad oggetto la violazione dell’art. 8 della CEDU, che ha pronunciato la condanna dello Stato rumeno per non aver predisposto una legislazione ad hoc atta a proteggere vita privata del lavoratore istante il quale era stato licenziato per abuso dell’instant messaging del dominio Yahoo, aziendale e privato.
Quanto espresso dalla CEDU può essere riassunto nel pensiero per il quale “adesso che la vita sta diventando in gran parte virtuale, in cui volenti o nolenti ci conformiamo alla relazionalità digitale che l’ambiente virtuale impone, difendere gli spazi di libertà personale – anche quando si realizzano sui sistemi di comunicazione dal posto di lavoro – va rivalutato con ottica differente; perché l’art. 8 (della Convenzione) ha una estensione che va al di là della mera natura lavorativa del domicilio informatico attraverso cui la comunicazione passa e abbraccia il concetto di “vita virtuale“”.
Orbene, concludendo questa brevissima considerazione, salutando con favore l’introduzione del GDPR, si intende evidenziare che a fronte delle immense potenzialità e degli indiscutibili benefici offerti dall’utilizzo della tecnologia privata in ambito lavorativo occorre contrapporre una sempre più puntuale, aggiornata e rinnovata disciplina sulla tutela dei dati personali, approntando, altresì, sistemi sempre più avanzati di controllo affinché il monitoring da parte del datore di lavoro non sconfini nell’invadenza nella vita privata e familiare del dipendente e costui non adoperi in modo improprio le informazioni acquisite sul posto di lavoro.
Tiziana Di Palma
