Pubblica amministrazione - Pubblico impiego -  Elena Feresin - 22/03/2020

Smart working e pubblica amministrazione II

L’art. 87 del decreto-legge n. 18 del 17 marzo 2020 ha legittimato lo smart working nella pubblica amministrazione.
Questa modalità lavorativa diviene la regola almeno fino “alla cessazione dello stato di emergenza epidemiologica da COVID-19 ovvero fino a una data antecedente stabilita con decreto del Presidente del Consiglio dei Ministri su proposta del Ministro per la pubblica amministrazione”.
Un tanto era stato già stata anticipato dalla circolare ministeriale n. 1 del 04 marzo 2020 (1), ma ora la fonte è normativa.
Nella citata disposizione vi è un comma che suscita delle perplessità in ordine alla tutela dei dati personali e in particolare alla loro sicurezza.
Ci riferiamo al 2° comma dell’art. 87 citato.
Lì viene previsto che “la prestazione lavorativa in lavoro agile può essere svolta anche attraverso strumenti informatici nella disponibilità del dipendente qualora non siano forniti dall’amministrazione. In tali casi l’articolo 18, comma 2, della legge 23 maggio 2017, n. 81 non trova applicazione”.
Ora, scomponiamo i due periodi della citata disposizione.
Il primo prevede che la prestazione lavorativa possa essere svolta “anche attraverso strumenti informatici nella disponibilità del dipendente qualora non siano forniti dall’amministrazione”.
La disposizione autorizza chiaramente il lavoratore all’utilizzo del proprio PC, del cellulare, del tablet, ecc sul presupposto che detti strumenti (quali esattamente andrà chiarito) non siano stati forniti dall’amministrazione.
C’è subito un “ma” a quanto appena detto.
Il “ma” riguarda la lettura combinata dell’articolo 87 con l’articolo 75 del medesimo decreto-legge.
Quest’ultima disposizione consente alle amministrazioni aggiudicatrici di cui all’art. 3 del decreto legislativo 18 aprile 2016, n. 50, nonché ad altre autorità lì indicate (1° comma dell’articolo 75 in commento) di procedere “in deroga ad ogni disposizione di legge diversa da quella penale, fatto salvo il rispetto delle disposizioni del codice delle leggi antimafia e delle misure di prevenzione, di cui al decreto legislativo 6 settembre 2011, n. 159” per l’acquisto fino al 31 dicembre 2020 di beni e servizi informatici.
Pertanto, gli “acquisti in deroga” se effettuati celermente consentiranno alle pubbliche amministrazioni di dotarsi fin da subito di strumenti informatici da assegnare agli smart workers senza onerare questi ultimi dall’utilizzo di quelli propri.
Inoltre, andrebbe chiarito che cosa ricomprende la locuzione “propri strumenti informatici” e di conseguenza a spese di chi avverrà questo utilizzo (pubblica amministrazione o smart workers)?
Il secondo periodo stabilisce l’inapplicabilità dell’art. 18, 2° comma della legge 81/2017 secondo il quale “Il datore di lavoro è responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell'attività lavorativa”.
Parrebbe che nel periodo emergenziale l’uso dello smart working sollevi il datore di lavoro dalla responsabilità “della sicurezza e del buon funzionamento degli strumenti tecnologici” perché non suoi, ma del lavoratore.
A questo punto ci si chiede: sarà cura del lavoratore potenziare la connettività casalinga stipulando il relativo contratto e accollandosi il costo del medesimo?
Il lavoratore sprovvisto di proprio PC sarà tenuto ad acquistarne uno nuovo ovviamente con software e antivirus aggiornati?
E così dicasi per tutti gli altri strumenti tecnologici (cellulare, tablet, ecc.) se rientranti nella locuzione “strumenti informatici”.
Se così è si può arrivare a sostenere che il decreto-legge in commento ha forgiato implicitamente una nuova figura privacy, un ibrido tra l’Incaricato Privacy(2), il Responsabile Esterno del Trattamento e il Titolare del Trattamento.
Normalmente spetta a quest’ultimo mettere “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (articolo 32, I paragrafo), così come previsto anche in molte altre disposizioni del Regolamento UE 679 (a titolo meramente esemplificativo articoli 24(3), 25(4)).
Parimenti il Responsabile Esterno del Trattamento deve provvedere alle misure di sicurezza (articolo 28, III paragrafo lettera c)).
L’Incaricato del Trattamento (si consenta l’utilizzo di questa locuzione sintetica anche se non più rinvenibile nella nuova normativa) non ha obblighi di tal fatta se ci si riferisce alla normativa citata (Regolamento UE 679 e decreto legislativo 196/2003 modificato dal decreto legislativo 101/2018) essendo tenuto semplicemente ad osservare le misure di sicurezza decise da altri (Titolare del trattamento o Responsabile Esterno del trattamento).
Vero è che l’articolo 29 dispone che chiunque agisca sotto l’autorità del titolare del trattamento o del Responsabile Esterno del trattamento e “abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri”.
Pertanto, se di regola le istruzioni al lavoratore vengono impartite dalla Pubblica amministrazione a sua volta osservante le varie indicazioni in essere (si pensi alla circolare n. 2 del 18 aprile 2017 di Agid, al Piano triennale per l’informatica della Pubblica amministrazione 2019-2021 e il Regolamento sulla E-Privacy quando verrà approvato), spetterà ora allo smart worker assumere in totale autonomia e rispettare le medesime regole alla luce (di cui non è destinatario) della clausola “salvo che lo richieda il diritto (…) degli Stati membri”.
Più dettagliatamente il lavoratore può trattare i dati personali soltanto se istruito dal Titolare del trattamento, salvo che “lo richieda il diritto (…) degli Stati membri” e cioè il decreto-legge n. 18 che consentirebbe il trattamento da parte dello smart worker in assenza di etero-istruzioni?
Inoltre, considerato che non siamo ancora approdati in via definitiva nel mondo del bit, ma ci troviamo tutt’oggi nella “terra di mezzo” tra cartaceo e digitale ci si chiede chi provvederà a stampare il cartaceo e a conservalo? Lo smart worker dovrà stampare con la propria stampante e dunque con l’uso del proprio toner? Toner che una volta esaurito andrà smaltito a sue spese?
Qualcuno potrebbe obiettare che la stampa potrebbe essere lanciata da remoto sulla stampante dell’ufficio della pubblica amministrazione, ma in tal modo si violerebbe la sicurezza dei dati personali nell’eventualità in cui nessun altro dipendente con idoneo profilo di autorizzazione fosse lì presente a raccogliere i documenti stampati.
Situazione quest’ultima impossibile da realizzarsi (raccolta dei documenti stampati da parte dell’unico dipendente rimasto a presidiare l’ufficio della pubblica amministrazione) qualora la stampante centralizzata sia accessibile soltanto con il PIN del dipendente che ha lanciata da remoto la stampa del cartaceo.
Infine, la conservazione dei documenti cartacei che tanto costa alla pubblica amministrazione diverrà un onere (e un costo) per il dipendente che si riempirà l’abitazione dei faldoni con conseguente obbligo di custodia degli stessi (misure fisiche: antincendio, antiallagamento, antintrusione, nonché misure di riservatezza: per impedire l’accesso ai terzi (figli; coniuge/convivente; collaboratrice domestica; amici; parenti, ecc.).
La situazione sinteticamente esposta è in continua “mutazione” - ciò in totale sintonia con il COVID-19 - per cui attendiamo i necessari chiarimenti istituzionali.

 1. Circolare ministero per la pubblica amministrazione n. 1/2020 del 04 marzo 2020 la quale recita: “per effetto delle modifiche apportate al richiamato articolo 14 della legge n.124 del 2015 dal recente decreto-legge 2 marzo 2020 n. 9, recante “Misure urgenti di sostegno per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica da COVID-19”, è superato il regime sperimentale dell’obbligo per le amministrazioni di adottare misure organizzative per il ricorso a nuove modalità spazio-temporali di svolgimento della prestazione lavorativa con la conseguenza che la misura opera a regime”.

2.  Gli Incaricati Privacy (dicitura dell’art. 30 ora abrogato del decreto legislativo 196/2003 e s.m.i.) che l’art. 4, punto 10) del Regolamento UE 679/2016 definisce quali “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare e del responsabile” e l’art. 2-quaterdecies, 1° comma, introdotto nel Codice Privacy dal decreto legislativo 101/2018 quale persona che operano sotto l’autorità del Titolare del trattamento (o del Responsabile Esterno del trattamento) per svolgere “specifici compiti e funzioni connessi al trattamento di dati personali”.

3.  L’articolo 24, I paragrafo del Regolamento UE 679/2016 recita: “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.

4.  L’articolo 25, II paragrafo del Regolamento UE 679/2016 recita: “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.”