L’emergenza di questi giorni legata al Corona Virus ha fatto emergere l’importanza dello strumento dello smart working o lavoro agile, cioè la possibilità per il lavoratore dipendente di lavorare da casa utilizzando strumenti informatici, laptop, smartphone e tablet di proprietà dell’azienda oppure personali per svolgere quelle mansioni strettamente correlate alla creazione e alla condivisione dei documenti, che non richiedono la presenza fisica di uno o più soggetti in loco.
Lo strumento dello smart working se correttamente utilizzato e regolamentato attraverso una policy aziendale può costituire un’importante opportunità per l’impresa anche terminato il periodo di emergenza sanitaria attuale.
Al fine di fronteggiare la situazione di emergenza epidemiologica attuale la disciplina del D.P.C.M. dell’8 marzo 2020 ha esteso la possibilità ai datori di lavori di ricorrere “in via automatica” al lavoro agile sia unilateralmente che previo accordo con ciascun lavoratore sino al 31 luglio p.v. Al di là delle semplificazioni normative apportate alla disciplina del “lavoro agile” per questo periodo di emergenza, il datore di lavoro che si avvalga di prestazioni di lavoro di remote working non potrà esimersi dal predisporre un’apposita regolamentazione (policy aziendale) per garantire il corretto svolgimento dell’attività di lavoro da casa, disciplinando ad esempio:
• l’esercizio del potere direttivo e le forme di coordinamento;
• l’orario di lavoro, tenendo conto dei tempi di riposo del lavoratore e del diritto alla disconnessione, ma anche garantendo un’effettiva cooperazione tra i lavoratori in remote working;
• i limiti di durata massima giornaliera e settimanale dell’attività lavorativa;
• le modalità d’impiego della strumentazione tecnologica di lavoro, che dovranno in ogni caso, conformarsi alle prescrizioni dettate in tema di controllo a distanza dell’attività dei lavoratori e in materia di trattamento dei dati personali.
Alla luce delle considerazioni sopra citate, è immediatamente desumibile l’importanza per l’impresa di definire una regolamentazione specifica (policy aziendale) dell’attività di smart working, in vista anche di un suo impiego nel corso del periodo di normale svolgimento dell’attività d’impresa.
Molte realtà, in particolare quelle di dimensioni ridotte, a causa dell’improvvisa emergenza sanitaria, hanno dovuto organizzare in pochi giorni la metodologia del lavoro agile non riuscendo a prestare un adeguata attenzione alla sicurezza del trattamento dei dati sensibili aziendali.
Di seguito proponiamo dei brevi suggerimenti per riorganizzare al meglio il lavoro agile assicurando un’adeguata protezione dei dati personali.
Il primo punto a cui prestare attenzione riguarda il dispositivo/computer/smartphone utilizzato per lo svolgimento dello smart working. E’ necessario distinguere tra l’ipotesi in cui il dispositivo/computer/smartphone è di proprietà dell’azienda e la fattispecie nella quale è personale del dipendente.
Nel primo caso il livello di sicurezza di queste apparecchiature è di solito definito in partenza dai tecnici e dalla divisione IT dell’azienda stessa e si presenta, quindi, molto elevato, mentre nella fattispecie in cui il dispositivo sia personale del dipendente occorre innalzare il livello di sicurezza verificando le impostazioni relative alla cifratura dei dati ed utilizzando una VPN per le connessioni in partenza dall’utenza domestica e dalla rete casalinga.
L’azienda dovrebbe fornire ove possibile ai lavoratori dispositivi con due caratteristiche essenziali: i) dischi e informazioni cifrate, per cui in caso di smarrimento il danno con riferimento ai dati è nullo, in quanto chi trova il computer o il telefono non vi può accedere, e ii) una VPN per collegarsi alla rete aziendale o a Internet, consentendo così di cifrare anche il traffico dati in entrata e in uscita dall’impresa evitando possibili attacchi da parte degli hacker.
Presenza dell’antivirus.
Attualmente i sistemi antivirus hanno funzioni molto ampie di sicurezza, tra le quali la protezione dai virus che circolano in rete (compresi quelli negli allegati) e la segnalazione di tentativi di phishing, e-mail fraudolente, link nocivi. Un antivirus gratuito può funzionare bene in un ambito domestico, mentre in un contesto lavorativo considerata l’importanza e il contenuto sensibile dei documenti in entrata e in uscita dalla reta aziendale è consigliabile l’utilizzo di un antivirus a pagamento che in genere ha funzionalità aggiuntive quali il riconoscimento di spyware, adware, malware e virus e la loro messa in quarantena.
Limitare l’uso promiscuo dello strumento personale di lavoro.
Nel momento in cui, il dispositivo (computer e/o smartphone) è utilizzato anche per la vita quotidiana, è necessario limitare il più possibile l’uso personale di tali strumenti contenenti dati di lavoro, limitando la possibilità di installare programmi che possano compromettere la sicurezza o il funzionamento del sistema stesso o che richiedano di abbassare le protezioni del browser o del sistema quali ad esempio, i videogiochi.
Creare un account specifico di lavoro.
Oggi tutti i sistemi operativi consentono la multiutenza permettendo, in altre parole, di creare dei singoli account che non “interferiscono” con dati e servizi di altri account, soprattutto in negativo.
La prima cosa da fare, prima di iniziare a lavorare su un computer personale consiste nel creare un’utenza lavorativa che in questi giorni di emergenza custodirà tutti i dati di lavoro in locale e sarà usata per collegarsi alla rete aziendale.
Cambiare i comportamenti.
Nel momento in cui un computer personale viene utilizzato per motivi di lavoro, occorre adeguare il proprio comportamento alzando il livello di diffidenza, in particolare è necessario prestare attenzione: agli attacchi di phishing (che se portati nei confronti di account, credenziali o dati bancari aziendali possono generare danni enormi), alle e-mail non attese a cui non si deve rispondere, agli allegati non attesi che non devono essere aperti. E’ buona prassi inoltre controllare sempre con un antivirus gli allegati delle e-mail prima di aprirli.
Altre buone prassi informatiche sono rappresentate:
• dall’aggiornamento del software e del sistema operativo per risolvere falle di funzionamento, errori nel codice e vulnerabilità presenti negli strumenti di produttività individuale;
• dall’installazione di un firewall (Windows e Mac hanno già un firewall è sufficiente controllare che sia attivo);
• dall’utilizzo di password complesse costituite da lettere maiuscole e minuscole, numeri e simboli speciali;
• dalla variazione del nome e della password del router wi-fi domestico.
Si ricorda che nel ridefinire il nome del router wi-fi domestico è meglio evitare di utilizzare informazioni personali in modo da ridurre la possibilità di essere individuati e “hackerati”.