L’acronimo BYOD (“bring your own device”) si riferisce all’utilizzo di dispositivi personali, in particolare con riferimento agli ambienti lavorativi.
Come si legge nelle Linee Guida WP249 del Gruppo di lavoro Art. 29 “a causa dell’aumento della popolarità, delle caratteristiche e delle capacità dei dispositivi elettronici di consumo, i datori di lavoro possono trovarsi nella situazione di gestire le richieste di dipendenti che intendono utilizzare i loro dispositivi personali sul posto di lavoro per svolgere i propri compiti”.
Va aggiunto, peraltro, che una tale evenienza può verificarsi anche su richiesta del datore di lavoro e che essa si è verificata di fatto in relazione alla necessità e urgenza di far svolgere la prestazione lavorativa dal domicilio per effetto delle restrizioni imposte dalla disciplina emergenziale di contrasto alla pandemia da diffusione del Covid-19.
Le citate Linee Guida ammettono che l’attuazione efficace di questa politica può comportare una serie di vantaggi per i dipendenti, tra cui una maggiore soddisfazione nei confronti del proprio lavoro, un aumento del morale complessivo, una maggiore efficienza sul lavoro e una maggiore flessibilità.
Dall’altro lato, il ricorso ai BYOD da parte del dato di lavoro pone una serie di criticità, anche se per questo il datore di lavoro non dovrebbe trarre affrettatamente le conclusioni che la soluzione migliore sia vietare l’uso di dispositivi privati per fini lavorativi.
Pertanto, il datore di lavoro che opterà per il BYOD dovrà considerare almeno 5 punti essenziali per non incorrere in errori grossolani in termini di conformità GDPR.
- Il BYOD implica un trattamento di dati personali che deve essere sempre previsto nel rapporto azienda-dipendente. L’azienda rimane controller delle informazioni raccolte e trattate relativamente al device del dipendente, pertanto, in ambito privacy, prima di avviare un programma BYOD è bene che sia analizzata l’introduzione del nuovo “strumento” in termini di rischi per la privacy degli interessati e che siano individuati, nel caso necessario, dei rimedi da porre in essere prima del trattamento.
Giova ricordare che l’attività di analisi del rischio ai fini del GDPR è un processo continuo e che non segue tanto le logiche di evoluzione della struttura aziendale quanto quelle legate al trattamento.
L’introduzione del BYOD si configura come un nuovo trattamento, soprattutto se si considera l’impiego di nuove tecnologie, pertanto non può prescindere da un suo esame approfondito in relazione al rischio privacy sottostante, anche se l’azienda può sembrare immutata sotto tutti gli “altri” punti di vista.
- Prevedere un’informativa chiara e dettagliata, così come previsto dall’art 13 del GDPR, che includa una o più basi legali tra quelle previste dall’art. 6 del GDPR a seconda delle finalità che si intendono perseguire.
In aggiunta alla dovuta trasparenza, in riferimento alle finalità di trattamento, si consiglia di effettuare le opportune considerazioni in caso di coinvolgimento di cloud providers in una o più operazioni di trattamento.
A tal proposito si richiama l’interessante pubblicazione dell’Autorità irlandese per la protezione dei dati personali Guidance for Organisations Engaging Cloud Service Providers, recentemente aggiornata proprio in funzione dell’esperienza che il mercato sta maturando in merito all’applicazione del GDPR in ambito cloud ed in cui sono forniti molti spunti interessanti per la conformità al Regolamento stesso.
Con questo documento l’Autorità irlandese pone l’accento sul principio di trasparenza, ovvero sulla necessità di rendere edotti gli interessati in caso di coinvolgimento di fornitori di servizi cloud da parte del titolare o del responsabile del trattamento in una qualsiasi delle operazioni di trattamento che lo riguardano.
- Il BYOD pone inoltre, in capo all’azienda, la necessità di gestire il rischio relativo all’utilizzo quotidiano del device da parte del dipendente, incluso ad esempio quello relativo alla violazione dei dati personali (il cosiddetto data breach), che può comportare per l’azienda sanzioni e ripercussioni negative nel rapporto con i clienti.
Pertanto, è necessario adottare una policy aziendale che spieghi ai dipendenti “come” poter utilizzare il BYOD in azienda (e fuori di essa) e quali sono i rischi e le sanzioni relative ad un utilizzo improprio dei device messi a disposizione.
Merita attenzione la diffusa pratica di consentire l’utilizzo c.d. promiscuo dei device aziendali, con particolare riferimento agli smartphone o tablet, proprio perché aumenta il rischio di data breach. Perciò si rende necessario l’avvio di un delicato processo di bilanciamento tra i diritti degli interessati e quello dei dipendenti, nonché con la necessità di tutelare il patrimonio aziendale.
- Sempre in merito alla gestione del rischio legato alle operazioni di trattamento, l’azienda dovrà prevedere “come e dove” le informazioni saranno conservate e tutelate (scoraggiando ad esempio l’utilizzo di tool gratuiti di backup online da parte del dipendente) e mettere a punto, tra le politiche di sicurezza, una modalità di scambio sicuro dei dati tra la propria infrastruttura IT ed il device del dipendente, avendo cura di non tralasciare alcuno step di trattamento (ad esempio: raccolta, conservazione ecc.).
- Prevedere come intervenire nel caso di perdita o furto del device o come gestire le informazioni in caso di interruzione del rapporto di lavoro con il dipendente.
L’azienda dovrà infatti evitare il rischio di una possibile perdita di informazioni gestite, come può accadere nel caso in cui, ad esempio, al termine del rapporto lavorativo l’ex dipendente si autorizzato a trattenere lo smartphone dato in dotazione dall’azienda.
FONTE: Cybersecurity 360