LA GUIDA PRATICA

BYOD e GDPR, regole di conformità per un corretto trattamento dei dati personali

Le aziende che adottano policy di tipo BYOD per consentire ai dipendenti di usare dispositivi personali nel posto di lavoro devono effettuare un’analisi accurata in termini di impatti privacy e di bilanciamento delle misure idonee in materia di protezione dei dati personali. Ecco le regole pratiche per la conformità al GDPR

14 Nov 2019
Diego Padovan

CIPP/E, CDP, Amministratore DPOCC


Sono sempre più numerose le realtà aziendali che favoriscono l’utilizzo dei dispositivi personali nel posto di lavoro e che quindi si trovano a dover rendere conformi le proprie policy interne di tipo BYOD (Bring Your Own Device, letteralmente: porta il tuo dispositivo) conformi al GDPR.

BYOD e GDPR: le implicazioni per la privacy

Il BYOD consente all’azienda di autorizzare la gestione e l’accesso ai dati aziendali, da remoto, ai propri dipendenti che utilizzano, ad esempio, uno smartphone, sia per risparmiare i costi relativi alle dotazioni informatiche, di manutenzione e aggiornamento, sia per fornire all’utente la possibilità di avere uno strumento di lavoro, che ovviamente conosce già, senza dover apprendere l’utilizzo di un nuovo sistema operativo o dei relativi applicativi.

Il BYOD è dunque un modello di interazione dipendente-azienda che prevede l’utilizzo di informazioni anche personali, o comunque la condivisione di uno strumento che nasce prevalentemente come dispositivo privato e poi promiscuo, ovvero contenente sia informazioni private sia aziendali.

Nasce da ciò l’esigenza per il datore di lavoro di tutelare e di controllare le informazioni aziendali e parimenti da parte del dipendente di tutelare ciò che nel dispositivo attiene alla sfera più intima e disgiunta dalla attività lavorativa.

BYOD e GDPR: le regole per la conformità normativa

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Pertanto, il datore di lavoro che opterà per il BYOD dovrà considerare almeno 5 punti essenziali per non incorrere in errori grossolani in termini di conformità GDPR.

  1. Il BYOD implica un trattamento di dati personali che deve essere sempre previsto nel rapporto azienda-dipendente. L’azienda rimane controller delle informazioni raccolte e trattate relativamente al device del dipendente, pertanto, in ambito privacy, prima di avviare un programma BYOD è bene che sia analizzata l’introduzione del nuovo “strumento” in termini di rischi per la privacy degli interessati e che siano individuati, nel caso necessario, dei rimedi da porre in essere prima del trattamento.
    Giova ricordare che l’attività di analisi del rischio ai fini del GDPR è un processo continuo e che non segue tanto le logiche di evoluzione della struttura aziendale quanto quelle legate al trattamento.
    L’introduzione del BYOD si configura come un nuovo trattamento, soprattutto se si considera l’impiego di nuove tecnologie, pertanto non può prescindere da un suo esame approfondito in relazione al rischio privacy sottostante, anche se l’azienda può sembrare immutata sotto tutti gli “altri” punti di vista.
  2. Prevedere un’informativa chiara e dettagliata, così come previsto dall’art 13 del GDPR, che includa una o più basi legali tra quelle previste dall’art. 6 del GDPR a seconda delle finalità che si intendono perseguire.
    In aggiunta alla dovuta trasparenza, in riferimento alle finalità di trattamento, si consiglia di effettuare le opportune considerazioni in caso di coinvolgimento di cloud providers in una o più operazioni di trattamento.
    A tal proposito si richiama l’interessante pubblicazione dell’Autorità irlandese per la protezione dei dati personali Guidance for Organisations Engaging Cloud Service Providers, recentemente aggiornata proprio in funzione dell’esperienza che il mercato sta maturando in merito all’applicazione del GDPR in ambito cloud ed in cui sono forniti molti spunti interessanti per la conformità al Regolamento stesso.
    Con questo documento l’Autorità irlandese pone l’accento sul principio di trasparenza, ovvero sulla necessità di rendere edotti gli interessati in caso di coinvolgimento di fornitori di servizi cloud da parte del titolare o del responsabile del trattamento in una qualsiasi delle operazioni di trattamento che lo riguardano.
  3. Il BYOD pone inoltre, in capo all’azienda, la necessità di gestire il rischio relativo all’utilizzo quotidiano del device da parte del dipendente, incluso ad esempio quello relativo alla violazione dei dati personali (il cosiddetto data breach), che può comportare per l’azienda sanzioni e ripercussioni negative nel rapporto con i clienti.
    Pertanto, è necessario adottare una policy aziendale che spieghi ai dipendenti “come” poter utilizzare il BYOD in azienda (e fuori di essa) e quali sono i rischi e le sanzioni relative ad un utilizzo improprio dei device messi a disposizione.
    Merita attenzione la diffusa pratica di consentire l’utilizzo c.d. promiscuo dei device aziendali, con particolare riferimento agli smartphone o tablet, proprio perché aumenta il rischio di data breach. Perciò si rende necessario l’avvio di un delicato processo di bilanciamento tra i diritti degli interessati e quello dei dipendenti, nonché con la necessità di tutelare il patrimonio aziendale.
  4. Sempre in merito alla gestione del rischio legato alle operazioni di trattamento, l’azienda dovrà prevedere “come e dove” le informazioni saranno conservate e tutelate (scoraggiando ad esempio l’utilizzo di tool gratuiti di backup online da parte del dipendente) e mettere a punto, tra le politiche di sicurezza, una modalità di scambio sicuro dei dati tra la propria infrastruttura IT ed il device del dipendente, avendo cura di non tralasciare alcuno step di trattamento (ad esempio: raccolta, conservazione ecc.).
  5. Prevedere come intervenire nel caso di perdita o furto del device o come gestire le informazioni in caso di interruzione del rapporto di lavoro con il dipendente.
    L’azienda dovrà infatti evitare il rischio di una possibile perdita di informazioni gestite, come può accadere nel caso in cui, ad esempio, al termine del rapporto lavorativo l’ex dipendente si autorizzato a trattenere lo smartphone dato in dotazione dall’azienda.

Conclusioni

Per concludere, chiedere ai propri dipendenti di aderire ad un programma di BYOD è un passo complesso, che necessita di un’analisi accurata in termini di impatti privacy e di bilanciamento delle misure idonee di sicurezza da adottare per mitigare le fonti di rischio insite nel trattamento.

Il fattore determinante che guiderà l’analisi privacy sull’introduzione del BYOD sarà sempre l’interessato e la tutela dei suoi diritti.

Il titolare del trattamento dovrà analizzare in termini (privacy) chiari e diretti le possibili implicazioni del BYOD sia in azienda sia nella vita privata, ponendosi regolarmente, sin dalle primissime fasi di progettazione, la domanda chiave del principio di minimizzazione: “quali sono le informazioni di cui posso fare a meno?”

@RIPRODUZIONE RISERVATA