Il tuo smart working è conforme al GDPR?

Le procedure di smart working necessitano di un adeguamento a diverse pratiche dettate dalla normativa vigente, in particolare il GDPR

A cura di Luca Gianera

Product Manager di NavigoSicuro  www.navigosicuro.it

Nelle ultime settimane numerose imprese hanno adottato pratiche di lavoro agile per far fronte alle indicazioni ministeriali contro il Covid-19. Organizzazioni che avevano sempre lavorato in modalità tradizionale si sono quindi dovute improvvisare con soluzioni last minute che consentissero ai propri dipendenti di lavorare da casa. La scelta è spesso ricaduta sull’alleggerimento delle policy interne al fine di permettere ai lavoratori di utilizzare il proprio computer portatile. Alcune imprese più strutturate si sono organizzate con notebook aziendali e VPN, attivando collegamenti remoti attraverso piattaforme più o meno gratuite, più o meno affidabili e spesso installate da personale non specializzato. In generale, l’attenzione del management board si è giustamente focalizzata sul come garantire alla propria organizzazione la continuità produttiva, trascurando accorgimenti, precauzioni e verifiche relativi a sicurezza dei dati, privacy e GDPR.

<< Questo “attacco virale” (Coronavirus), come accade alle macchine con i malware, presto o tardi terminerà, ma i dati personali, nel frattempo, condotti all’esterno dei comparti aziendali (ove prima erano protetti) potranno, sia nel breve che nel lungo periodo, essere liberamente sottoposti a furti, modifiche, perdite, accessi non autorizzati, e così via… >>

Agendadigitale.eu, 13 marzo 2020

Come ampiamente raccontato da un recente articolo di Agendadigitale.eu, la frettolosità con cui sono state attivate le procedure di smart working sta esponendo (ed esporrà nel medio-lungo periodo) le imprese a violazioni del GDPR e della sicurezza informatica. Per quanto riguarda il GDPR, infatti, se come previsto dal regolamento si effettuasse una valutazione DPIA (Data Protection Impact Assessment) sugli ambienti smart working, molto probabilmente il risultato sarebbe una matrice di rischio “alto” per la quale sono previste sanzioni fino al 2% del fatturato annuo. In particolare, la matrice di rischio valuta, per ogni singolo ambiente di smart working: le tecnologie informatiche utilizzate, la vulnerabilità delle reti (VPN, wifi e Internet), le modalità di back-up e disaster recovery, l’esposizione degli end point, le protezioni crittografiche, i firewall, lo storage dei documenti analogici e digitali, l’utilizzo di hotspot, di password e di chiavette usb. Inoltre, è da considerare che queste valutazioni sono spesso aggravate nel caso di utilizzo di dispositivi personali da parte dei dipendenti.

In ambienti di lavoro agile, dove tutto avviene da remoto (ovvero fuori dal contesto lavorativo fisico) diventa, quindi, estremamente importante porre attenzione alla sicurezza informatica di: archiviazioni, registrazioni, consultazioni, download di dati, trasmissioni, ecc… In queste condizioni di lavoro, infatti, i dati personali (nonché quelli di business riservati) potrebbero sia essere accidentalmente smarriti, sia subire furti. Inoltre, nei casi in cui ai collegamenti remoti non siano associati il controllo degli accessi (a server, cartelle, file, profilo degli utenti, ecc…) né alert in tempo reale di eventuali anomalie, le probabilità di accessi abusivi o diffusioni dolose/colpose dei dati aumentano notevolmente.

Modificando completamente l’ambiente di lavoro e le relative modalità di accesso ai dati, lo smart working rischia così di indebolire se non addirittura invalidare gli sforzi già sostenuti in precedenza per adeguarsi al GDPR.

Ally Consulting, con la divisione NavigoSicuro, mette a disposizione il suo team di ICT Security Expert per svolgere un assessment gratuito degli ambienti di smart working della tua impresa e valutare il livello di conformità al GDPR.

A valle della valutazione, se lo riterrai opportuno, potrai definire assieme al team di Ally Consulting piani di Business Continuity, Disaster Recovery e Data Protection per prevenire e sanare situazioni di violazione della sicurezza aziendale, perdita di dati, diffusione indesiderata di documenti riservati, sospensione delle attività produttive dovute al blocco dei sistemi informatici. Potrai anche, senza impegno, valutare assieme a noi soluzioni innovative per avere sempre il polso della situazione sulla sicurezza informatica della tua impresa.

Una volta regolato e tutelato, lo smart working resta comunque, come dimostrato da questo periodo di “sperimentazione forzata dal Coronavirus”, una modalità di lavoro estremamente flessibile ed efficace che consente di garantire l’operatività e l’accesso ai dati aziendali anche in orari diversi dall’apertura degli uffici fisici. Un modus operandi che, aumentando la produttività e riducendo gli spostamenti, vede impatti positivi sia a livello economico sia livello ecologico.

Avrai sicuramente intuito che lo smart working non è una semplice iniziativa per agevolare i lavoratori, ma un modello lavorativo che richiede un attento uso della tecnologia e un management focalizzato sul controllo della sicurezza.

Documento valutazione rischi da Covid-19, chi deve farlo?

L’emergenza sanitaria da Covid-19 grava – com’è ovvio – anche sulle spalle dei datori di lavoro che attualmente si trovano a fronteggiare nuove sfide in termini di sanificazione degli ambienti di lavoro e di vigilanza sull’obbligo di distanziamento tra lavoratori. E tuttavia, un argomento tiene il banco tra le fila della categoria datoriale: sussiste o meno l’obbligo di valutazione del rischio da Coronavirus?

Due differenti correnti di pensiero

Sulla questione si sono formate due differenti correnti di pensiero. Secondo una prima opinione, solo i rischi professionali devono essere oggetto della valutazione dei rischi e del conseguente DVR (documento Di Valutazione Dei Rischi). Rischi professionali sono quei rischi per la salute e sicurezza ai quali è esposto un lavoratore nell’espletamento della sua attività lavorativa all’interno dell’organizzazione aziendale.

A questo punto, però, ci si chiede se il rischio biologico da Coronavirus sia o meno un rischio professionale. La risposta varia a seconda che si tratti di lavoratori che, operando in una data organizzazione aziendale, siano adibiti o meno a mansioni che determinino un incremento dell’entità del rischio rispetto alla restante popolazione o ad altri lavoratori. Nel primo caso rientrano, ad esempio, i medici, gli infermieri, gli operatori sanitari, i virologi ma anche quelle categorie di lavoratori che svolgono le attività indicate all’Allegato XLIV al D. Lgs. 81/2008. Si tratta, dunque, di attività lavorative che generalmente richiedono il contatto con agenti biologici e per le quali il rischio biologico da Covid-19 assume natura di rischio professionale; di talché le aziende datrici di lavoro sono obbligate a redigere la valutazione del rischio da agenti biologici e ad aggiornarla quando necessario.

 

Nel secondo caso rientrano le altre categorie di lavoratori per le quali, normalmente, il rischio da Coronavirus non dovrebbe considerarsi rischio professionale perché esterno all’organizzazione aziendale. E’ però innegabile che, allo stato, anche questi lavoratori possono essere esposti ad un rischio di contagio, benché tale rischio non nasca all’interno dell’organizzazione aziendale, non sia prevenibile dal datore di lavoro e non sia certamente legato alla mansione espletata ed alla relativa attività lavorativa.

La domanda, allora, è se anche nella seconda delle summenzionate ipotesi sussista l’obbligo del datore di lavoro di procedere ad una valutazione del rischio da Covid-19.

 

Non mancano risposte affermative al presente interrogativo. Infatti, chi sostiene che il rischio di cui sopra debba essere valutato indiscriminatamente da tutte le aziende datrici di lavoro fa riferimento a:

Vediamo nel dettaglio cosa affermano questi tre provvedimenti.

 

Interpello 19841 del 25/10/2016

L’Interpello n° 19841 del 25/10/2016 costituisce la risposta ad un quesito relativo alla valutazione dei rischi ambientali e di sicurezza del personale delle compagnie aeree. E’ evidente che qui ci si riferisce ad una prestazione lavorativa caratterizzata da modalità di svolgimento imposte dalla Compagnia Aerea datore di lavoro, con la conseguenza che tutto ciò che accade nel corso della stessa deve essere considerato come verificatosi in attività di lavoro, in quanto accessorio alla stessa e ad essa funzionalmente connesso. Va da sé che il rischio di essere coinvolti in eventi come quelli citati dall’Interpello o di essere esposti al contagio di una qualche infezione deriva direttamente dallo svolgimento della mansione che prevede anche i viaggi in Paesi a rischio.

Circolare del Ministero della Salute n° 3190 del 03/02/2020

La Circolare del Ministero della Salute n° 3190 del 03/02/2020, poi, ha per oggetto “Indicazioni per gli operatori dei servizi/esercizi a contatto con il pubblico” ed è diretta a soggetti ben identificati.  A pag. 3 della Circolare è testualmente riportato: “Pertanto, ad esclusione degli operatori sanitari, si ritiene sufficiente adottare le comuni misure preventive della diffusione delle malattie trasmesse per via respiratoria, e in particolare:

  • lavarsi frequentemente le mani;
  • porre attenzione all’igiene delle superfici;
  • evitare i contratti stretti e protratti con persone con sintomi simil influenzali.
  • adottare ogni ulteriore misura di prevenzione dettata dal datore di lavoro.”

Vengono dunque fornite delle indicazioni solo per il personale che è a diretto contatto con il pubblico e cioè una ben precisa categoria di lavoratori.

Circolare del Ministero della Salute n° 5443 del 22/02/2020

Vi è, infine, la Circolare del Ministero della Salute n° 5443 del 22 febbraio scorso. Questa Circolare ha per oggetto “COVID-2019. Nuove indicazioni e chiarimenti” ed è stata pubblicata dopo l’accertata presenza del virus in Italia. La stessa è diretta a ben identificati soggetti e fornisce una serie di indicazioni tra cui quella riguardante le modalità di “Pulizia degli ambienti non sanitari” raccomandando l’utilizzo di DPI: filtrante respiratorio FFP2 o FFP3, protezione facciale, guanti monouso, camice monouso impermeabile a maniche lunghe (seguire le misure indicate per la rimozione in sicurezza dei DPI (svestizione) – dopo l’uso, i DPI monouso vanno smaltiti come materiale potenzialmente infetto).

Misure organizzative per prevenire il contagio da Covid-19

A questa impostazione che, sulla base dei provvedimenti richiamati, estende l’obbligo di valutazione del rischio da Covid-19 a tutte le organizzazioni aziendali se ne contrappone un’altra. Secondo questo differente indirizzo tali provvedimenti non sarebbero idonei a giustificare una simile conclusione. Nello specifico, si dice che i contenuti dell’Interpello non possono essere utilizzati per sostenere l’obbligo di valutazione dei rischi da CoronaVirus per le aziende, in quanto lavorare in uno stabilimento industriale non aumenta l’entità del rischio rispetto alla restante popolazione poiché il rischio di contrarre il virus è lo stesso sia dentro che fuori l’azienda, a meno che non si pensi che le interazioni tra persone possano avvenire solo all’interno di questa.

Anche i richiami alle predette Circolari non sono ritenuti validi per giustificare la richiesta di valutazione del rischio e redazione del DVR per le aziende a causa di una potenziale esposizione al contagio da Coronavirus. Ciò non significa che le aziende non debbano preoccuparsi del problema visto che l’art. 18 comma 1, lett. i) del D. Lgs. 81/2008 pone comunque degli obblighi informativi in capo al datore di lavoro. Pertanto, ogni azienda, con il supporto del proprio Medico Competente (MC), dovrà emanare una serie di disposizioni volte a ridurre la possibilità di contagio per il proprio personale, seguendo le indicazioni fornite dalle Autorità Sanitarie.

Tali disposizioni potrebbero consistere, ad esempio, in:

  • Vietare al personale di recarsi all’interno delle Aree Rosse in Italia ed effettuare trasferte di lavoro in Cina, in Corea del Sud, a Macao, a Taipei e ad Hong Kong;
  • Raccomandare al proprio personale di non effettuare trasferte internazionali e nazionali, con l’unica eccezione di quelle indispensabili per garantire la continuità operativa aziendale;
  • Sospendere i corsi di formazione e gli eventi aziendali, nonché la partecipazione a convegni o ad altri eventi esterni;
  • Effettuare le riunioni aziendali di lavoro in videoconferenza, limitando il più possibile quelle con partecipazione fisica diretta;
  • Per il personale residente o domiciliato nelle Aree Rosse, effettuare l’attività in modalità smart working fino a che le autorità pubbliche manterranno lo stato di isolamento;
  • Attività lavorativa svolta in modalità smart working anche per il personale operante in sedi dove si è venuti a conoscenza di un contatto diretto avvenuto anche in ambito extra lavorativo tra una persona della sede e persona risultata contagiata;
  • Sospendere gli incontri in presenza con i clienti o fornitori spostandoli sui sistemi di videoconferenza;
  • Intensificare, mediante l’impiego di prodotti efficaci, le attività di sanificazione e igienizzazione dei luoghi di aggregazione e transito di personale quali la mensa, gli spogliatoi, le aree di somministrazione di bevande e snack, l’infermeria, ecc.;
  • Installare distributori di snack e di gel igienizzante mani in prossimità della mensa aziendale e dei distributori di bevande;
  • Coprire le vie aeree quando si tossisce e starnutisce.
  • Cestinare i fazzolettini di carta, una volta utilizzati;
  • Porre particolare attenzione all’igiene delle superfici;
  • Evitare contatti stretti con persone con sintomi simil-influenzali;
  • Adottare queste accortezze anche nel proprio ambito familiare.

Questo elenco di misure organizzative e procedurali, volte a prevenire il contagio e la diffusione dello stesso, sono quelle diffuse dalle Autorità Sanitarie e si ritengono più che sufficiente per ridurre al minimo la possibilità di contagio all’interno delle aziende.

 

 

Corsi online RSPP Datore di Lavoro: modalità di svolgimento e validità

RSPP datore di Lavoro: è la figura destinata a alla responsabilità del servizio di prevenzione e protezione ma qual è la differenza con la figura dell’RSPP trdizionale?

Come stabilito dal D.Lgs. 81/2008 (Testo Unico della Sicurezza sul Lavoro), all’interno di un’azienda è necessaria la presenza di un Responsabile del Servizio Prevenzione e Protezione (RSPP). Il Responsabile – designato dal datore di lavoro – deve possedere capacità e requisiti adeguati alla natura dei rischi presenti sul luogo di lavoro, in quanto è sua preciso compito organizzare e gestire tutto il sistema di prevenzione e protezione dai rischi presenti in azienda. Di norma, dunque, il RSPP è un professionista qualificato (interno o esterno all’azienda), ma la funzione di Responsabile può essere ricoperta in prima persona dal datore di lavoro se si tratta di aziende:

  • artigiane e industriali con un massimo di 30 lavoratori;
  • agricole o zootecniche che occupano fino a 30 dipendenti;
  • ittiche con un massimo di 20 lavoratori;
  • di altri settori fino a 200 addetti.

CORSO RSPP DATORE DI LAVORO

 

Formazione RSPP Datore di Lavoro

In questi casi si discorre di RSPP Datore di lavoro, una figura destinata ad uno specifico percorso formativo dal Testo Unico. Sotto questo profilo, la normativa è perentoria: ai fini dello svolgimento delle sue mansioni, il RSPP datore di lavoro deve acquisire e mantenere alcuni requisiti fondamentali frequentando un apposito corso. Il corso di formazione iniziale presenta un programma diviso in moduli e ha durata variabile in base al livello di rischio presente in azienda. Nello specifico, il corso avrà durata di:

  • 16 ore se il rischio è basso;
  • 32 ore se il rischio è medio;
  • 48 ore se il rischio è alto.

Il programma del corso è, come detto, diviso in 4 moduli i cui contenuti sono stabiliti e precisati dal D. Lgs. 81/2008:

  • Modulo 1: tematiche Giuridico-Normative;
  • Modulo 2: lato Gestionale;
  • Modulo 3: aspetto Tecnico e dell’individuazione e valutazione dei rischi;
  • Modulo 4 detto anche Relazionale: tema di formazione e consultazione dei lavoratori.

Terminato il programma, al corsista verrà somministrato un test di verifica finale, il cui superamento comporterà l’acquisizione dell’Attestato valido per esercitare la funzione di Rspp Datore di lavoro all’interno della propria azienda. L’attestato ha validità di 5 anni e dovrà, quindi, essere aggiornato dal datore di lavoro con cadenza quinquennale mediante la frequenza ad un corso di aggiornamento che tratterà argomenti analoghi a quelli del corso di formazione iniziale, riportando eventuali aggiornamenti normativi o tecnici. Anche questo corso avrà una durata variabile in base al rischio aziendale:

  • 6 ore se il rischio è basso;
  • 10 ore se il rischio è medio;
  • 14 ore se il rischio è alto.

I datori di lavoro che intendono esercitare le funzioni di RSPP sono comunque avvantaggiati dal fatto che il corso RSPP Datore di lavoro rientra tra quelli che è possibile svolgere attraverso piattaforme online. Va però ricordato che, ai sensi dell’Accordo Stato-Regioni del 7 luglio 2016, le specifiche tematiche trattate nel corso e il ruolo di responsabilità che l’interessato andrà a ricoprire richiedono uno svolgimento particolare: dati gli evidenti vantaggi in termini di risparmio di tempo e denaro, è consentito svolgere Corsi RSPP Datore di Lavoro interamente online in modalità Audio Videoconferenza. In questo modo l’interazione e il confronto con il docente sono garantiti.

 

In conclusione, i corsi online per il datore di lavoro che intende ricoprire il ruolo di Responsabile del Servizio di Prevenzione e Protezione all’interno della propria azienda sono validi e rilasciano attestati riconosciuti dalla normativa soltanto se rispettino le suindicate modalità di erogazione e siano organizzati da Enti o Provider accreditati e a ciò autorizzati.

 

Per avere maggiori informazioni sul corso per RSPP- Datore di Lavoro di Beta Imprese è possibile consultare qui il programma specifico.