Uno degli aspetti accessori riguardo all’adozione del lavoro remoto (più comunemente ma impropriamente detto “smart working”) riguarda la necessità di inviare le buste paga, e gli eventuali altri documenti retributivi e fiscali, ai lavoratori al loro domicilio. Ovviamente, se questa pratica era in atto prima che ci si trovasse improvvisamente nella necessità per via del lockdown, ed era stata opportunamente trattata all’interno del modello organizzativo privacy, è molto probabile che nulla in più sia necessario. Al contrario, se la pratica è stata introdotta (anche se solo per una parte dei dipendenti) appositamente per l’emergenza in corso, è molto probabile per non dire certo che sia necessario intervenire sul modello per aggiornarlo, nonché essere certi di aver implementato le adeguate misure di sicurezza.
Gli aspetti che devono essere considerati per la sicurezza degli invii telematici sono sostanzialmente due: le comunicazioni e lo smistamento. Per smistamento si intende fare in modo che il cedolino arrivi esclusivamente al destinatario corretto, e che tutti i cedolini arrivino a tutti i destinatari. Per le comunicazioni, si intende la protezione del cedolino nel tragitto virtuale, in modo che arrivi integro e riservato, senza che altri possano intercettarlo e quindi leggerlo.
Portale
La modalità certamente più sicura è fare in modo che il lavoratore acceda ad un portale di servizio con le proprie credenziali personali e da lì si scarichi il cedolino (o qualsivoglia altro documento disponibile) in autonomia. I sistemi gestionali che si occupano di amministrazione del personale normalmente hanno questa funzionalità, anche se probabilmente ad un costo aggiuntivo rispetto al servizio di elaborazione dei cedolini; e quasi sicuramente le comunicazioni sono protette attraverso la cifratura propria del protocollo HTTPS. Il gestore del portale deve essere nominato Responsabile del Trattamento (ovviamente se il contratto di servizio è diretto); l’informativa aziendale per il lavoratore deve contenere le indicazioni necessarie per questo trattamento.
Posta elettronica
La modalità di invio, da parte di chi amministra il personale, per posta elettronica presenta criticità per entrambi gli aspetti sopra ricordati. Infatti, è relativamente probabile che si commettano errori nel momento in cui si predispone la mail, scambiando il file del cedolino rispetto al destinatario della mail; o che vengano inseriti erroneamente più destinatari, o persino più file. Si dovrebbero predisporre procedure per minimizzare tale rischio: per esempio, facendo eseguire un controllo della mail predisposta ad una persona diversa prima dell’effettivo invio.
Per la comunicazione, va sempre ricordato che la posta elettronica è basata su protocolli molto insicuri, per cui il rischio che i messaggi vengano intercettati è significativo; l’unica possibilità in questo senso è la crittografia “end-to-end” cioè che il file, o il messaggio, transiti crittografato lungo tutto il tragitto virtuale tra il computer del mittente ed il dispositivo finale del destinatario. Tuttavia, tale approccio presuppone strumenti e competenze non banali, che devono essere acquisite tramite opportuna formazione.
Se si utilizzano le mailbox aziendali dei destinatari, in realtà, il cedolino non esce mai fuori del controllo dell’azienda (o del suo Responsabile del Trattamento nominato) fino a che il lavoratore non lo scarica sul suo dispositivo personale; tuttavia la crittografia rimane consigliabile per rendere illeggibile il cedolino agli amministratori del sistema di posta elettronica.
Se, al contrario, i destinatari utilizzino mailbox personali, allora è necessario raccogliere l’indirizzo email necessario e trattarlo correttamente, il che presuppone che la finalità e le modalità siano riportate in un’informativa (che sia specifica, o che sia quella aziendale per il lavoratore opportunamente aggiornata, poco importa), e che il Registro dei Trattamenti e la nomina degli addetti riporti questo trattamento. La raccolta dell’indirizzo email è bene che avvenga per iscritto, in modo da poter dimostrare il “consenso implicito” del destinatario.
Chat
L’invio tramite servizi di messaggistica istantanea come Whatsapp condivide le stesse problematiche della posta elettronica. Tuttavia, i diversi servizi di messaggistica includono possibilità di comunicazioni crittografate “end-to-end”, e quindi è possibile valutare ciò come modalità di invio; è però necessario ricordare che questi servizi risiedono in stati extra UE, sottoposti quindi a legislazioni spesso invasive e soprattutto mutevoli, e che le stesse funzionalità in fatto di sicurezza sono soggette a modifiche sulla sola base delle politiche commerciali delle aziende fornitrici, e quindi ciò che è conforme oggi potrebbe non esserlo più domani (ma vale anche il viceversa).
In questo caso, valgono per il numero di telefono su cui si appoggia il servizio le stesse considerazioni fatte in precedenza per l’indirizzo email: se sono aziendali è un conto, se sono personali è necessaria la raccolta di questo nuovo dato con tutte le conseguenze documentali e operative sopra ricordate.
Invio da parte del Consulente del Lavoro
Un’ultima possibile modalità è delegare il Consulente del lavoro che elabora i cedolini ad inviarli direttamente ai destinatari: dal punto di vista dell’azienda, ciò corrisponde ad assicurarsi che la nomina del Consulente a Responsabile del Trattamento includa questo servizio con le relative istruzioni; mentre dal punto di vista del Consulente, esso farà ricorso ad una delle precedenti 3 modalità e varranno per esso tutte le considerazioni prima fatte per l’azienda stessa. L’unica differenza è che la raccolta del dato necessario all’invio (indirizzo email o numero di telefono), qualora siano personali e non aziendali, rimane in capo all’azienda che deve quindi fornire l’informativa dedicata o aggiornata e conservare correttamente la comunicazione con cui avviene la raccolta.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
