EntiOnLine
Categorie
indietro
05/03/2020 Emergenza Coronavirus - misure organizzative urgenti: sicurezza informatica, protezione dati personali e smart working

Emergenza Coronavirus: misure organizzative urgenti - misure incentivanti per il ricorso a modalità flessibili di svolgimento della prestazione lavorativa

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

La situazione emergenziale correlata al Coronavirus rende attuale il tema dell'obbligo di tutte le amministrazioni pubbliche (art. 1, comma 2, del d. lgs. 165/2001) di attuare il ricorso a modalità flessibili di svolgimento della prestazione lavorativa (il cosiddetto lavoro agile o smart working) per prevenire il rischio di diffusione del contagio. Sul punto, il DPCM del 1 marzo 2020 (Art. 4) dispone che:

  • sull'intero territorio nazionale può essere applicata la misura della modalita' di lavoro agile, disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n. 81, per la durata dello stato di emergenza di cui alla deliberazione del Consiglio dei ministri 31 gennaio 2020. La misura può essere applicata dai datori di lavoro a ogni rapporto di lavoro subordinato, nel rispetto dei principi dettati dalle menzionate disposizioni, anche in assenza degli accordi individuali ivi previsti. Gli obblighi di informativa sulla sicurezza sul lavoro di cui all'art. 22 della legge 22 maggio 2017, n. 81, sono assolti in via telematica anche ricorrendo alla documentazione resa disponibile sul sito dell'Istituto nazionale assicurazione infortuni sul lavoro.

La disciplina emergenziale del DPCM del 1 marzo 2020 (Art. 4) supera la regolamentazione "ordinaria" in materia di lavoro agile o smart working di cui alle Linee guida in materia di promozione della conciliazione dei tempi di vita e di lavoro allegate alla Direttiva n. 3/2017 della funzione pubblica. Secondo la Direttiva e le Linee guida, le PA adottano avviare una fase sperimentale consentendo, entro il 2020, ad almeno il 10 per cento dei dipendenti, ove lo richiedano, di avvalersi delle nuove modalità spazio-temporali di svolgimento della prestazione lavorativa. L’adozione delle misure organizzative e il raggiungimento dell’obiettivo minimo del coinvolgimento del 10 per cento dei dipendenti di ciascuna amministrazione, costituiscono oggetto di valutazione nell'ambito dei percorsi di misurazione della performance organizzativa e individuale. La sperimentazione di nuove modalità spazio-temporali di svolgimento della prestazione lavorativa presuppone, in via generale:

1) la definizione delle caratteristiche del progetto generale di lavoro agile attraverso un Piano o atto interno (che contenga a titolo esemplificativo indicazioni in merito alla durata, rientri settimanali, fasce di contattabilità, utilizzo degli strumenti tecnologici, criteri di scelta in caso di richieste superiori al numero disponibile; sicurezza sul lavoro ecc.)

2) la definizione degli obiettivi che si intendono raggiungere nel rispetto di quelli prefissati ex art. 14 L.124/2015

3) la verifica degli spazi e della dotazione tecnologica: valorizzazione e razionalizzazione.

Sul tema si inserisce ora la recentissima Circolare n.1 del 26 febbraio 2020 della funzione pubblica, la quale ribadisce che la progressiva digitalizzazione della società contemporanea, le sfide che sorgono a seguito dei cambiamenti sociali e demografici o, come di recente, da situazioni emergenziali, rendono necessario un ripensamento generale delle modalità di svolgimento della prestazione lavorativa anche in termini di elasticità e flessibilità, allo scopo di:

  • renderla più adeguata alla accresciuta complessità del contesto generale in cui essa si inserisce,
  • aumentarne l’efficacia, promuovere e conseguire effetti positivi sul fronte della conciliazione dei tempi di vita e di lavoro dei dipendenti,
  • favorire il benessere organizzativo e assicurare l’esercizio dei diritti delle lavoratrici e dei lavoratori, contribuendo, così, al miglioramento della qualità dei servizi pubblici.

Precisa la funzione pubblica, con la Circolare n.1 del 2020, che l’attuale quadro normativo già interviene sulla materia. In particolare, la Direttiva 2017 precisa che, per le nuove modalità di organizzazione del lavoro pubblico, assumono rilievo le politiche di ciascuna amministrazione in merito a:

  • valorizzazione delle risorse umane e razionalizzazione delle risorse strumentali disponibili nell’ottica di una maggiore produttività ed efficienza;
  • responsabilizzazione del personale dirigente e non;
  • riprogettazione dello spazio di lavoro;
  • promozione e più ampia diffusione dell’utilizzo delle tecnologie digitali;
  • rafforzamento dei sistemi di misurazione e valutazione delle performance;
  • agevolazione della conciliazione dei tempi di vita e di lavoro.

La Circolare n.1 del 2020 fornisce alcuni chiarimenti sulle modalità di implementazione delle misure normative e sugli strumenti, anche informatici, a cui le pubbliche amministrazioni possono ricorrere per incentivare il ricorso a modalità più adeguate e flessibili di svolgimento della prestazione lavorativa.

Tra le misure e gli strumenti, anche informatici, a cui le pubbliche amministrazioni, nell’esercizio dei poteri datoriali e della propria autonomia organizzativa, possono ricorrere per incentivare l’utilizzo di modalità flessibili di svolgimento a distanza della prestazione lavorativa, la Circolare evidenzia l’importanza:

  • del ricorso, in via prioritaria, al lavoro agile o smart working come forma più evoluta anche di flessibilità di svolgimento della prestazione lavorativa, in un’ottica di progressivo superamento del telelavoro;
  • dell’utilizzo di soluzioni “cloud per agevolare l’accesso condiviso a dati, informazioni e documenti;
  • del ricorso a strumenti per la partecipazione da remoto a riunioni e incontri di lavoro (sistemi di videoconferenza e call conference);
  • del ricorso alle modalità flessibili di svolgimento della prestazione lavorativa anche nei casi in cui il dipendente si renda disponibile ad utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione, garantendo adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole pubbliche amministrazioni;
  • dell’attivazione di un sistema bilanciato di reportistica interna ai fini dell’ottimizzazione della produttività anche in un’ottica di progressiva integrazione con il sistema di misurazione e valutazione della performance.

Al delineato quadro di strumenti giuridici, va ulteriormente aggiunta lo strumento della transizione alla modalità digitale di gestione dell'attività amministrativa conformemente alle disposizioni del CAD e del Piano Triennale per l'informatica nella P.A., con:

  • ricorso alle piattaforme telematiche, in cloud, per lo svolgimento dell'attività amministrativa

PRESCRIZIONI DEL SERVIZIO DPO-RPD

L'insieme dei descritti processi di ricorso al lavoro agile o smart working e di trasizione al digitale, richiedono preliminarmente di definire le misure da adottare ai fini del trattamento e della protezione dei dati personali dei soggetti interessati dalle citate misure.

Ciò premesso, al fine di supportare l'amministrazione nell'affrontare tali innovative questioni, il Servizio di Protezione dei dati DPO, nella persona del Responsabile del Servizio, fornisce le seguenti INIZIALI PRESCRIZIONI di massima per la salvaguardia dei dati e le misure di sicurezza informatica, con rinvio a successive integrazioni, tenuto conto dell'attuale situazione emergenziale.

L'esecuzione del rapporto di lavoro subordinato basata su forme di organizzazione per fasi, cicli e obiettivi e senza precisi vincoli di orario o di luogo di lavoro, con l'utilizzo di strumenti tecnologici per lo svolgimento dell'attivita' lavorativa, implica che Il datore di lavoro pubblico ricorra all'adozione e utilizzazione di soluzioni “cloud” per agevolare l’accesso condiviso a dati, informazioni e documenti, anche in attuazione del principio "cloud first", e ricorra a strumenti per la partecipazione da remoto a riunioni e incontri di lavoro (sistemi di videoconferenza e call conference). In tale contesto "agile" e "smart", il medesimo datore di lavoro:

  • e' responsabile della sicurezza e del buon funzionamento degli strumenti tecnologici assegnati al lavoratore per lo svolgimento dell'attivita' lavorativa a distanza;
  • garantisce adeguati livelli di sicurezza e protezione della rete nei casi in cui il dipendente si renda disponibile ad utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione;
  • garantisce che il potere di controllo del sulla prestazione resa dal lavoratore all'esterno dei locali aziendali venga esercitato nel rispetto di quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300.

Salvo le disposizioni derogatorie del DPCM 1 marzo 2020 (Art. 4), va garantita:

- la scrupolosa osservanza delle Linee guida in materia di promozione della conciliazione dei tempi di vita e di lavoro a cui si rinvia, approvate con la direttiva n. 3/2017 (http://www.funzionepubblica.gov.it/lavoro-agile-linee-guida);

- utilizzo servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace per condivisione documenti ed e-mail in cloud. L'elenco dei principali servizi, fruibili gratuitamento per le c.d. zone rosse, è disponibile al link https://solidarietadigitale.agid.gov.it/#/;

- la scrupolosa osservanza delle misure minime definite da Agid, con un livello di attuazione adeguato (possibilmente standard o avanzato) e la presenza dei seguenti requisiti di sicurezza informatica:

  • la gestione dei profili di accesso utenti e privilegi. Occorre prevedere differenti profili di utenza con adeguati privilegi (a. amministratore della sicurezza; b. amministratore di sistema; c. operatore di sistema (utente unità organizzativa); d. auditor di sistema). Tali sistemi devono essere in grado di associare e assegnare i profili definiti agli utenti che vi devono accedere
  • l'autenticazione per l’utilizzo dei servizi.

In ogni caso, le diverse modalità di autenticazione sopra elencate devono essere modulate in relazione alle funzioni o ai dati che devono essere resi accessibili.

  • Sicurezza dei dispositivi e applicazioni. i dispositivi e le applicazioni, incluse le applicazioni per dispositivi mobili e le applicazioni web, devono rispettare principi e regole di sicurezza stabilite e documentate dall'amministrazione. In particolare, le applicazioni devono essere adeguatamente protette contro le vulnerabilità e gli attacchi, impedendo: a. Code injection, tramite le domande di SQL (Structured Query Language), LDAP (Lightweight Directory Access Protocol) o XPath (XML Path Language), comandi del sistema operativo (OS) e gli argomenti di program change; b. XSS (Cross-site scripting) Inoltre i sistemi devono avere un’autenticazione forte e gestione delle sessioni, garantendo almeno che: c. le credenziali siano sempre protette e conservate utilizzando sia tecniche di controllo dell'integrità dei dati (hashing) sia la crittografia dei dati; d. le credenziali non possano essere individuate o modificate da soggetti diversi dal titolare attraverso le funzioni di gestione account, in particolare attraverso la creazione di un account, la modifica della password, il recupero della password o di identificativi di sessione fragili; e. identificativi di sessione ed i dati di sessione non siano esposti nel Uniform resource Locator (URL); f. gli identificativi di sessione non siano vulnerabili ad attacchi di sessione; g. gli identificativi di sessione abbiano un limite di tempo di funzionamento, assicurando il rilascio della sessione dell’utente sul sistema; h. le password, gli identificativi di accesso e altre credenziali vengano inviate solo tramite TLS (Transport layer Security), che dovrà essere usato nell’ultima versione disponibile. Inoltre: i. tutti gli elementi software devono poter essere aggiornabili, nella misura necessaria a limitare eventuali vulnerabilità, tra cui Sistemi Operativi, server web e il server di applicazioni, il sistema di gestione di database (DBMS), le applicazioni e tutte le librerie di codice; j. i servizi e processi non necessari al funzionamento di OS, server web e Application server, devono essere disattivati, rimossi o non installati; k. le password degli account di default devono esser modificate o disabilitate;

- formazione sulla sicurezza informatica nel trattamento a distanza dei dati

è necessario rendere consapevoli i lavoratori in ordine ai rischi derivanti sulla sicurezza dal trattamento con i dispositivi mobili o via Web.È fondamentale una formazione di primo livello da garantire a tutti lavoratori.

- divieto di controllo del sulla prestazione resa dal lavoratore all'esterno dei locali aziendali (art. 4 della legge 20 maggio 1970, n. 300) salvo utilizzo all'esame dei log di accesso e utilizzo di un sistema bilanciato di reportistica (report, chek list, etc.).

Banca dati