INFODIRITTO - In-formazione giuridica per l'amministrazione

In data 30 novembre 2021 sono state pubblicate nel sito web del Ministero per la Pubblica Amministrazione le Linee guida sul lavoro agile nelle amministrazioni pubbliche. 

Le linee guida, frutto del confronto con le organizzazioni sindacali, anticipano ciò che sarà definito entro l'anno nei contratti di lavoro, e che 32.000 amministrazioni pubbliche saranno tenute a rispettare all’esito del parere della Conferenza Unificata. 

Il documento approfondisce le condizioni per l’accesso alla prestazione lavorativa in forma agile, di seguito si riassume il contenuto per punti:

• Condizioni tecnologiche, privacy e sicurezza

  • utilizzo di dotazione tecnologica in grado di garantire la protezione delle risorse aziendali

  • l’accesso alle risorse digitali deve avvenire attraverso sistemi di gestione dell’identità digitale
    
    

• Accesso al lavoro agile

  • l’adesione al lavoro agile ha natura consensuale e volontaria

  • l’amministrazione individua quali attività possano essere svolte in modalità agile

  • il lavoro agile è anche strumento di innovazione organizzativa e modernizzazione

  • è consentito a tutti i lavoratori a prescindere dalla tipologia di contratto (tempo indeterminato, determinato, a tempo pieno o parziale)
    
    

• Accordo individuale

  • è stipulato in forma scritta

  • la durata può essere a termine o a tempo indeterminato

  • deve contenere le modalità di svolgimento della prestazione fuori sede, con indicazione delle giornate da svolgere a distanza

  • indica le modalità di recesso, con un termine non inferiore a 30 giorni

  • indica le ipotesi di giustificato motivo di recesso, in presenza del quale ciascun contraente può recedere senza preavviso

  • assicurare che il tempo di riposo non sia inferiore a quello previsto per il lavoro in presenza e definisce i tempi di disconnessione
    
    

• Articolazione della prestazione in modalità agile e diritto alla disconnessione

  • la prestazione lavorativa è svolta senza un vincolo di orario nell’ambito delle ore massime di lavoro giornaliere e settimanali

  • devono essere previsti periodi di inoperabilità nei quali il lavoratore non può erogare alcuna prestazione, questi comprendono in ogni caso 11 ore di riposo consecutivo

  • il lavoratore può usufruire di permessi previsti dai contratti collettivi o da norme di legge, ad esempio per motivi personali o familiari

  • in modalità agile non è possibile effettuare lavoro straordinario, trasferte, lavoro disagiato, lavoro in condizioni di rischio 

  • in caso di problematiche di natura tecnica, informatica, cattivo funzionamento tale da impedire o sensibilmente rallentare l’attività, il lavoratore da pronto avviso al datore di lavoro. Qualora la prestazione sia temporaneamente impossibile o non sicura, il datore di lavoro può richiamare il dipendente in presenza

  • per sopravvenute esigenze di servizio il dipendente in lavoro agile può essere richiamato in sede, con comunicazione effettuata in tempo utile e, comunque, almeno il giorno prima.   

  • il rientro in servizio non comporta il diritto al recupero delle giornate di lavoro agile non fruite
    
    

• Formazione

  • al fine di accompagnare il percorso di introduzione e consolidamento del lavoro agile, saranno previste specifiche iniziative formative per il personale

  • diffusione di moduli organizzativi che rafforzino il lavoro in autonomia, l’empowerment, la delega decisionale, la collaborazione e la condivisione delle informazioni
    
    

• Lavoro da remoto

  • diversamente dal lavoro agile può essere prestato anche con vincolo di tempo e obblighi di presenza, con modificazione del luogo di adempimento della prestazione lavorativa, in luogo idoneo e diverso dalla sede dell’ufficio

  • può essere svolto come “telelavoro” o “altre forme di lavoro a distanza” quali il coworking o il lavoro decentrato da centri satellite

  • sono garantiti tutti i diritti previsti dalle vigenti disposizioni per il lavoro svolto presso la sede dell’ufficio, con particolare riferimento a riposi, pause, permessi orari e trattamento economico accessorio.

  • le amministrazioni possono adottare il lavoro da remoto con il consenso del lavoratore e, di norma, in alternanza con il lavoro svolto presso la sede dell’ufficio

  • l’amministrazione concorda con il lavoratore il luogo in cui viene prestata l’attività lavorativa ed è tenuta alla verifica della sua idoneità. Nel caso di telelavoro domiciliare, concorda con il lavoratore tempi e modalità di accesso al domicilio per effettuare tale verifica. 

Link: Linee guida lavoro agile 30 nov 2021 (funzionepubblica.gov.it)

Fonte: Pa, via libera alle linee guida per lo smart working (funzionepubblica.gov.it)

La Conferenza Unificata ha dato oggi parere favorevole al decreto del ministro per la Pubblica amministrazione, Renato Brunetta, sulle modalità organizzative per il rientro in presenza di tutti i lavoratori pubblici e alle linee guida Funzione pubblica-Salute sui meccanismi di controllo e verifica del green pass nelle amministrazioni.
Di seguito i link delle schede relative al decreto ministeriale e alle linee guida:

Scheda Decreto Rientro
Scheda Linee guida Green Pass
Decreto rientro in presenza

AGGIORNAMENTO - Pubblicate nel sito del Ministro per la Pubblica amministrazione anche le Linee guida Brunetta-Speranza e le FAQ per la Pubblica Amministrazione: 

Link:
DPCM - Linee guida
Faq - Per la Pubblica Amministrazione

Fonti:
Rientro in presenza e verifica green pass: disco verde dalla Conferenza Unificata (funzionepubblica.gov.it)
Rientro in presenza, il decreto del ministro Brunetta inviato a Regioni, Province ed enti locali (funzionepubblica.gov.it)

Le pubbliche amministrazioni rendono pubblico lo stato di accessibilità di ogni sito web e applicazione mobile di cui sono titolari. La legge n. 4/2004, all’art. 3 comma 1, comprende tra i destinatari dell’obbligo anche le pubbliche amministrazioni di cui al comma 2 dell'articolo 1 del d.lgs. n. 165/2001. Nel rispetto di quanto disposto dalle Linee Guida sull’accessibilità ICT di AgID e dalla Direttiva UE 2016/2102, le amministrazioni sono tenute ad effettuare l’aggiornamento delle dichiarazioni di accessibilità (tramite apposito form) entro il 23 settembre 2021.

Link Utili:
Form Dichiarazione di Accessibilità - AgID
Guida alla compilazione Dichiarazione di Accessibilità - AgID
Legge 9 gennaio 2004, n. 4
Fonte:
Accessibilità: aggiornamento delle dichiarazioni | Agenzia per l'Italia digitale (agid.gov.it)


Con l’obiettivo di diffondere la cultura dell’accessibilità e usabilità, sia sotto l’aspetto normativo che sotto l’aspetto progettuale e tecnico, AgID e Formez organizzano tre incontri, in forma di webinar (17 e 24 settembre, 1 ottobre), rivolgendosi a: progettisti e gestori di servizi digitali e di comunicazione in rete, professionisti che intendano valutare il livello di accessibilità e usabilità di un sito o di servizio digitale, e tecnici che debbano effettuare la verifica del livello di accessibilità di un sito e la relativa dichiarazione.

Link utili:
Informazioni sul ciclo di webinar e registrazone
Fonte:
Accessibilità dei siti web: ciclo di webinar di approfondimento | Agenzia per l'Italia digitale (agid.gov.it)

 La Corte di Cassazione si è già espressa in diverse occasioni sul tema dell’accesso abusivo a sistema informatico.

 Il Giudice di Legittimità ha delineato due ipotesi da applicarsi con particolare riferimento all’accesso di sistemi telematici ad uso professionale.

 In estrema sintesi, il personale dipendente risponde per accesso abusivo a sistema informatico nei seguenti casi:

1)      Accesso a sistema informatico effettuato dall’utente in assenza di autorizzazioni per credenziali o privilegi;

2)      Accesso a sistema informatico effettuato con credenziali autorizzate, con permanenza ed attività nel sistema per ragioni ontologicamente estranee alle attività e ai servizi per i quali l’accesso è autorizzato e consentito e/o in violazione di condizioni e limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema;

 Con la recente del sentenza del 12 luglio 2021, n. 26530, la Suprema Corte prende posizione rispetto alla seconda ipotesi.

 Il caso tratta di un dipendente della Pubblica Amministrazione che, precedentemente assegnato ad un’altra unità dello stesso ente, aveva effettuato l’accesso al sistema informatico di servizio al fine di visualizzare una certificazione da lui già inserita nel corso dell’attività pregressa in altro ufficio. Sebbene l’accesso fosse autorizzato a mezzo di credenziali attive, la consultazione dell’area telematica in questione non rientrava più nelle competenze e nei limiti di operatività del dipendente.

 Posto che l’accesso del dipendente al sistema informatico interno resta autorizzato con le stesse credenziali, ci si chiede entro che limiti l’utente può mantenersi ed operare nel sistema in esame.

 L’attività svolta a mezzo dei servizi informatici deve effettuarsi con specifico riferimento alla mansione svolta e alle competenze correlate. Non è lecito, in generale, mantenersi nel sistema informatico, seppur con credenziali autorizzate, per effettuare qualsiasi operazione (es. visualizzazione di documenti) per ragioni ontologicamente estranee a quelle di servizio.

 Al fine di individuare in concreto tali ragioni estranee a finalità professionali, si fa riferimento al criterio di osservanza delle prescrizioni imposte dal titolare del sistema.

 La Corte di Cassazione chiarisce che il titolare del sistema è identificabile nella figura del superiore gerarchico preposto.

 E’ proprio il titolare a dover acconsentire all’accesso, da parte dei dipendenti, al sistema informatico predisposto e a garantirne i limiti di consultazione.

 Nel caso in cui il titolare non presenti espressamente diniego o, in ogni caso, una volontà contraria al libero utilizzo degli strumenti informatici da parte del dipendenti, a questi ultimi non può essere contestata alcuna violazione in materia di accesso abusivo.

 Si precisa, infine, che un eventuale dissenso del responsabile deve essere espresso in forma esplicita rispetto alla volontà di ammettere o meno l’accesso e/o il mantenimento del dipendente nel sistema informatico in gestione.

 Si trasmette di seguito il testo integrale della sentenza per ulteriore approfondimento.

Il Garante Privacy, in collaborazione con Accredia, ha fornito chiarimenti riguardo all’ottenimento della certificazione accreditata della protezione dei dati personali. 

GDPR e certificazione dei trattamenti di dati. Le Faq con i primi chiarimenti messe a punto da Garante privacy e Accredia

Si tratta di un’attestazione di conformità rispetto specifici servizi erogati in materia di protezione dei dati personali, che qualsiasi ente che operi in  qualità di titolare e responsabile, può richiedere ed ottenere.

In termini di privacy, la certificazione attesta nello specifico l’adeguatezza di:

• Una singola operazione di trattamento (es. conservazione di dati personali)

• Più operazioni di trattamento (es. raccolta, conservazione e trasmissione dei dati a soggetti terzi)

• Il trattamento da parte di titolare e responsabile attraverso strumenti specifici (es. trattamento dati dei dipendenti da parte del datore di lavoro attraverso un software acquistato da una società esterna)

I requisiti oggetto della certificazione vengono valutati in conformità al GDPR o a specifiche norme tecniche (ISO/IEC) in materia di protezione dei dati personali e sicurezza delle informazioni. 

In Italia la certificazione viene rilasciata sulla base del seguente schema:

• Il Garante Privacy, in qualità di Autorità di controllo e in ottemperanza a quanto richiesto dal Regolamento 679/2016 (GDPR) agli artt. 42 43 promuove il rilascio di certificazioni accreditate attestanti la conformità dei trattamenti effettuati da enti titolari e/o responsabili presenti sul mercato

• Con D.Lgs 101/2018 (adeguamento del precedente Codice Privacy nazionale, D.Lgs 196/2003) è stata istituita la collaborazione tra il Garante Privacy ed Accredia in qualità di Ente nazionale per l’accreditamento

• La certificazione viene rilasciata da OdC (organismi di certificazione) di cui Accredia accerta preventivamente l’imparzialità, la competenza e l’adeguatezza ai sensi del Regolamento (CE) n. 765/2008 e della norma tecnica ISO/IEC 17000:2020.

La richiesta di certificazione dell’ente titolare/responsabile va quindi presentata direttamente agli OdC di competenza (Ricerca OdC accreditati). 

È possibile infine avvalorare ulteriormente la certificazione a mezzo del sigillo europeo. Si tratta di uno schema di certificazione a livello comunitario, sviluppato per essere utilizzato in tutti gli Stati membri dell’Unione Europea.

La procedura è già stata definita dal Comitato Europeo per la protezione dei dati (EDPB) valutando l’adattabilità di singoli criteri nazionali alla circolazione dei dati in altri Paesi dell’UE.

Documento del Comitato Europeo per la protezione dei dati sul sigillo europeo

La Corte di Cassazione si è recentemente espressa in tema di accesso abusivo a sistema informatico e telematico da parte del personale della Pubblica Amministrazione.

La sentenza n. 8911/2021 fa luce sui diversi aspetti della condotta illecita prevista dall’art. 615-ter c.p., da ritenersi rilevanti nella gestione dei sistemi informatici dell’Università.

Di seguito i punti più rilevanti tra i principi richiamati sul tema dal Giudice di Legittimità:

• È fatto divieto al personale dipendente o a chiunque fruisca dei servizi telematici dell’Ente di effettuare accessi a sistemi e aree riservate in assenza di credenziali autorizzate o privilegi specifici. Si riprende alla lettera quanto sanzionato dalla norma di riferimento, condannando la condotta abusiva di chi si introduce in sistemi informatici senza alcun permesso valido.

• È considerata a pari livello illecita ed abusiva la condotta dell’utente che, pur se in possesso delle credenziali di accesso, si mantiene nelle aree del sistema informatico senza averne effettivamente il permesso in relazione al ruolo ricoperto all’interno dell’Organizzazione (es. cambio di collocazione del personale dipendente o variazione della qualifica interna originariamente attribuita). È sanzionata negli stessi termini la condotta dell’utente che in possesso di credenziali autorizzate accede al sistema interno per ragioni estranee o esorbitanti rispetto alla propria autorizzazione. Qualsiasi funzione deve essere strettamente correlata al ruolo dell’utente e al fine della sua attività, effettuando solo operazioni strettamente necessarie.

• Particolare attenzione è dedicata ai dati e alle informazioni presenti all’interno del sistema informatico protetto, accessibili all’utente autorizzato. È espressamente vietata qualsiasi operazione che porti ad una diffusione estranea rispetto alle ragioni di istituto e agli scopi correlati alla protezione dell’archivio informatico. Più precisamente, la disposizione tratta non solo della divulgazione all’esterno di dati o informazioni riservati all’Ente, bensì anche di una visualizzazione o consultazione in generale che sia esorbitante rispetto alle finalità di servizio.

• Si riporta infine che l’art. 615-ter c.p. prevede come aggravante la circostanza in cui l’accesso abusivo a sistema informatico sia effettuato da parte di un pubblico ufficiale o incaricato di pubblico servizio. Si precisa che la mera qualifica non è sufficiente a configurare l’aggravante descritta, ma è necessario che il fatto sia commesso dall’utente con abuso dei poteri o in violazione dei doveri inerenti alla sua funzione, con lo scopo di eludere più facilmente i limiti posti al sistema protetto.

Si trasmette di seguito il testo integrale della sentenza per ulteriore approfondimento.

Sono state pubblicate in Gazzetta ufficiale le nuove linee guida del Garante privacy in materia di cookies e strumenti di tracciamento sui siti web (Gazzetta Ufficiale n. 163 del 9 luglio 2021):

• Provvedimento n. 231 del 10 giugno 2021

Enti pubblici ed imprese dovranno adeguare i sistemi di tracciamento dei propri siti web ai nuovi criteri indicati entro il 9 gennaio 2022.

Di seguito le principali novità introdotte dalle linee guida cookie aggiornate al 2021:

• Le linee guida si applicano a tutti i sistemi di tracciamento, sia di tipo attivo (es. cookies classici, altri sistemi di tracciamento informazioni,...) che di tipo passivo (es. sistema di analisi di comportamento degli utenti)

• I dati degli utenti potranno essere raccolti tramite i sistemi di tracciamento solo tramite consenso dell'interessato

• Si conferma la distinzione tra cookie tecnici, cookie analitici di terze parti e cookie di profilazione, con rafforzamento della richiesta di consenso da parte dell'interessato al trattamento dati

• Il consenso dell'utente può essere richiesto tramite banner contente l'informativa in un linguaggio semplice ed accessibile, con possibilità di chiudere il banner con comando X senza prestare automaticamente il consenso all'utilizzo di cookie e mantenendo le impostazioni di default

• Il sistema Scrolling non è adatto alla raccolta del consenso al trattamento, si richiede di inserire un processo più articolato nel quale l'utente possa manifestare la propria volontà al trattamento dati in maniera informata in un evento qualificato e registrato

• il Cookie Wall si ritiene illecito nel caso in cui non consenta all'utente la libera visualizzazione di un contenuto senza prestare il consenso all'utilizzo dei cookies.

• I consensi precedentemente raccolti rispetto alle nuove linee guida mantengono la loro validità se correttamente registrati e conformi al GDPR