BYOD E LEGGE PRIVACY

Del tema BYOD (Bring Your Own Device)  abbiamo già scritto in precedenti articoli.

È giusto però tornare a trattare l’argomento alla luce di quanto successo durante l’ultimo anno. La pandemia Covid-19 ha infatti portato alla ribalta l’utilizzo di strumentazione personale dei dipendenti per attività lavorative in smart-working.

Molte aziende, prima di marzo 2020, non prevedevano la possibilità di fornire notebook, smartphone o altri device ai collaboratori nel caso in cui l’attività operativa si fosse dovuta svolgere al di fuori dell’ufficio. Colte impreparate, solo quelle più strutturate o con disponibilità economiche immediate, hanno potuto rifornirsi sul mercato di strumenti da dare in dotazione ai propri lavoratori.

Ci si è posti il problema legato alle criticità da gestire?

Anche in assenza di situazioni emergenziali, sarebbe utile contemplare l’eventualità di una di commistione di strumenti privati/aziendali andando a definire delle policy per monitorare e mettere in sicurezza preventivamente i dati trattati.

Come riferimenti normativi, ci si può basare sulle Linee Guida dell’EDPS del 17 dicembre 2015 Guidelines on the protection of personal data in mobile devices used by European institutionsche, anche se rivolte alle istituzioni, possono tranquillamente essere applicate ai soggetti privati, e le Opinion 2/2017 on data processing at work” del WP29.

All’interno si fa riferimento a quattro sezioni principali che riguardano:

  • Policy dei dispositivi
  • Rischi per i dati trattati
  • Misure di sicurezza
  • Questioni giuridiche

 

Policy dei dispositivi BYOD

Innanzitutto, si dovrebbe iniziare da un censimento degli asset per avere un inventario che permetta all’azienda di mappare le risorse a disposizione. In aggiunta è opportuno mettere a punto un disciplinare per l’utilizzo degli strumenti elettronici in cui sia regolamentato l’uso di dispositivi personali con limiti e restrizioni del caso e, a questo punto, valutare rischi e benefici per tutti. Ovvio che per l’azienda potrebbe essere vantaggioso dal punto di vista economico e per il lavoratore una comodità quella, ad esempio, di poter leggere le mail dal proprio cellulare. Bisogna però capire dove finiscono i pro ed iniziano i contro.

 

Rischi per i dati trattati

Per comprendere in modo chiaro i rischi derivanti dall’utilizzo del BYOD, la prima cosa da fare in assoluto è una valutazione d’impatto (DPIA) che prenda in considerazione tutti gli aspetti tecnici e organizzativi messi in atto o da prevedere per la corretta gestione. Andremo così a verificare di aver rispettato i principi di privacy by design e by default che, ad esempio, chiedono di “minimizzare” la quantità di dati a quelli che sono strettamente indispensabili, oppure vagliare potenziali accessi da parte di soggetti esterni non autorizzati (familiari e amici). Non vanno tralasciati i rischi derivanti da perdita, modifica, cancellazione, diffusione dei dati e furto dei dispositivi. Infine, va considerato il caso in cui un dipendente dovesse lasciare l’azienda.

 

Misure di sicurezza privacy

Fatte tutte le considerazioni precedenti e valutati i rischi specifici, si passa all’azione mettendo a punto misure di sicurezza tecniche e organizzative adeguate a scongiurare potenziali data breach. In assoluto, la formazione degli incaricati  rappresenta il primo baluardo a protezione dei dati; come diceva un famoso spot di pneumatici di diversi anni fa “la potenza è nulla senza controllo”, e così, anche tutti i sistemi di sicurezza informatici vengono bypassati da un click dell’operatore distratto che scarica allegati di dubbia provenienza.

A seguire, è fondamentale una procedura di backup precisa e puntuale che permetta, anche in caso di violazione, di tornare operativi in tempi ridotti riuscendo a ricostruire il database in modo integro.

A questo punto entrano in campo le autorizzazioni di accesso (PIN/password/biometria), l’installazione e aggiornamento di antivirus e firewall, la crittografia e la possibilità di intervenire da remoto per modificare o cancellare i dati dal dispositivo, magari attraverso un sistema di MDM – Mobile Device Management.

 

Questioni giuridiche legate al BYOD

Non va certo tralasciato l’aspetto forse più delicato, ovvero il fatto che lo strumento è di proprietà del lavoratore. Se, come scritto precedentemente, il BYOD offre vantaggi per entrambe le parti, deve essere riconosciuto un limite entro cui può spingersi il datore di lavoro. L’eventuale accesso da remoto o l’uso di biometria e geolocalizzazione , non deve interferire con la vita privata del dipendente che può sentirsi “monitorato” anche fuori dall’ambito lavorativo.

Risulta complicato, inoltre, imporre misure di sicurezza o pretendere che il dipendente acquisti software per gestire le attività, con la conseguenza che l’azienda si affida in toto alla responsabilità dei singoli incrociando le dita e sperando che vada tutto liscio.

Questioni da non sottovalutare in considerazione del fatto che gli attacchi informatici sono in crescita esponenziale, spinti anche da situazioni di promiscuità non normate a livello aziendale, che lasciano margine d’azione a chi se ne vuole approfittare.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!