Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROCCIO CORRETTO

Smart working e BYOD: i rischi per la sicurezza aziendale e per la protezione dei dati personali

A fronte degli indubbi vantaggi che smart working e BYOD (Bring Your Own Device) comportano per l’azienda, si collocano nuove sfide sotto il profilo della sicurezza informatica e il rispetto della protezione dei dati personali. Approfondiamo gli aspetti critici e gli adempimenti che si rendono necessari

10 Lug 2019
G

Lorenzo Giannini

Consulente legale privacy e DPO


Smart working e BYOD (Bring Your Own Device, letteralmente: porta il tuo dispositivo) rappresentano, in numerosi contesti lavorativi e aziendali, le nuove frontiere della digital economy

La diffusione di un numero sempre maggiore di dispositivi connessi alla rete e di servizi “data hungry” nonché la maggiore produttività assicurata dai processi di digitalizzazione, sono soltanto due delle evidenze empiriche che dimostrano come gli investimenti nel settore delle Information and Communications Technology siano alla base dei maggiori effetti di trasformazione avuti negli ultimi decenni nel tessuto sociale, economico e produttivo a livello globale, con previsioni ancora più significative per il futuro grazie all’introduzione delle reti 5G, ormai alle porte.

Più in generale la “rivoluzione digitale”, alla base dell’odierna digital economy e della quarta rivoluzione industriale, è stata fin da subito ritenuta da molti la strategia per essere “vincenti” nell’era della globalizzazione.

Così, l’organizzazione della vita e delle abitudini dei cittadini è costantemente modificata dalle possibili applicazioni delle tecnologie in campo informatico e comunicativo e con essa anche l’organizzazione industriale dei processi produttivi volti all’erogazione di nuovi prodotti o servizi a condizioni sempre più vantaggiose.

Un’evoluzione, quella tecnologica, con una portata tale da produrre riflessi anche sul sistema socioeconomico, in cui la tutela alla riservatezza appare come il must have nell’attuale era dei Big Data.

A ciò, ancorché con tempi non proprio ristretti e con tasselli a oggi mancanti (si pensi al nuovo Regolamento ePrivacy, ancora in cantiere), ha fatto eco tanto a livello europeo quanto a livello dei singoli Stati membri un rinnovato mosaico normativo che si fa carico almeno in gran parte di far fronte alle rinnovate esigenze anzi richiamate e di cui il Regolamento UE 679/2016 (GDPR) rappresenta senz’altro una tessera fondamentale.

Smart working e BYOD: flessibilità e dinamismo

L’incessante evoluzione tecnologica ha avuto però anche la conseguenza di rendere tutto un po’ più “intelligente”. Dallo smartphone che ci segue ovunque ai devices che indossiamo e riempiono le nostre case (quali smartwatch e smart tv); dalla casa stessa (smart home) alle città in cui abitiamo (smart cities), tutto è “smart”.

Un concetto sempre più di uso comune, che è andato al di là dell’anglofonia oggi dilagante per ergersi piuttosto a paradigma di positiva virtù nella descrizione di un oggetto, un ambiente, una persona.

Anche il mondo del lavoro non si è potuto esimere dal vedersi accostare quest’etichetta semantica e così, il c.d. smart working (o “lavoro agile” per come è stato definito dalla Legge n. 81/2017) è diventato sinonimo di flessibilità e dinamismo, in grado di assottigliare i sempre più labili confini tra ambito domestico e lavorativo.

La diversa modalità di esecuzione del rapporto di lavoro subordinato in cui si sostanzia, caratterizza lo smart working per l’assenza di vincoli di tempo o di spazio in favore di un’organizzazione “per obiettivi” stabilita tra datore di lavoro e dipendente, che lascia a quest’ultimo una maggiore libertà organizzativa a vantaggio della produttività.

La stortura rispetto ai canoni più classici può addirittura investire, talvolta, non soltanto il rapporto lavorativo ma anche gli strumenti utilizzati dal dipendente per svolgere la propria attività, portando a un livello superiore la flessibilità organizzativa dello smart working.

È questo ciò che è alla base del c.d. BYOD (Bring Your Own Device, traducibile con Porta Il Tuo Dispositivo), la pratica sempre più frequente – grazie anche alla diffusione di smartphones e tablet – per cui è permesso ai dipendenti di portare i propri dispositivi e utilizzarli come strumenti aziendali da impiegare nelle proprie attività lavorative.

Ebbene, se da un lato appare utile chiarire in via incidentale come i due concetti di smart working e BYOD non coincidano (pensiamo ad esempio al caso in cui venga concesso al dipendente di lavorare da remoto con il laptop aziendale, integrando così il concetto di smart working ma non anche di BYOD) è innegabile, ciò non di meno, come i due concetti il cui connotato della flessibilità rappresenta il denominatore comune, spesso coesistano in un dato ambito lavorativo.

BYOD: tra vantaggi e rischi

Quando si parla di BYOD, i vantaggi sono indubbiamente molteplici, tanto che ci si collochi dal lato del lavoratore che del datore di lavoro.

Per il primo – un beneficio che a dire il vero si pone di riflesso anche a vantaggio del datore di lavoro – consiste nella possibilità di portare sempre con sé le email aziendali e l’opportunità di interagire con colleghi e clienti, alla quale si aggiunge (soprattutto per coloro meno inclini alla tecnologia) la maggiore familiarità che si ha con il proprio dispositivo personale.

Di riflesso, anche il datore di lavoro potrà trarre vantaggio dal non veder gravare sul bilancio aziendale l’acquisto di ulteriori dispositivi, ai quali magari si dovrebbero aggiungere anche costi accessori come quello per la connessione alla rete.

A fronte dei risvolti senz’altro positivi che l’adozione del BYOD comporta, occorre tuttavia sottolineare anche gli aspetti critici che questa soluzione implica tanto sotto il profilo della sicurezza aziendale che della protezione dei dati degli stessi dipendenti.

Un primo fattore di rischio è quello legato alla sicurezza dei dati di cui l’azienda è titolare del trattamento (pensiamo semplicemente ai dati anagrafici dei propri clienti o fornitori) che saranno assoggettati allo scarso livello di sicurezza (potenzialmente) presente sul dispositivo del dipendente di turno, con conseguente innalzamento dei rischi di cui al comma 2 dell’art. 32 GDPR.

Non solo. L’uso promiscuo – a fini personali e professionali – del proprio dispositivo da parte del lavoratore potrebbe portare a una maggiore vulnerabilità, come ad esempio nel caso in cui l’email aziendale venga salvata su un servizio cloud pubblico o su supporti di memoria conservati in maniera incauta, oppure, più in generale, nel caso del dispositivo connesso a una rete poco sicura.

Senza poi considerare la perdita di controllo fisico sulle risorse informatiche da parte del datore di lavoro e il più probabile rischio di furto o di smarrimento del dispositivo mobile contenente dati aziendali rispetto agli strumenti presenti in modo stabile nell’ambiente di lavoro.

Invero e da un diverso angolo visuale, lo stesso dipendente è esposto a dei rischi per quanto riguarda la protezione dei dati personali ad esso riferiti.

Anche in questo caso l’uso combinato a fini sia personali che lavorativi potrebbe portare a un trattamento illecito dei dati del lavoratore da parte del datore di lavoro, laddove quest’ultimo effettui un monitoraggio sul dispositivo senza le opportune cautele volte a impedire l’acquisizione di dati relativi alla vita privata del dipendente.

Inoltre, qualora gli accertamenti andassero a configurare la possibilità di un controllo a distanza dell’attività del lavoratore, si andrebbe ad aggiungere altresì quanto dettato dalla disciplina giuslavoristica (cfr. art. 4 Legge n. 300/1970 così come modificata dal D.lgs. n. 151/2015 e art. 21 della già citata Legge n. 81/2017, alla luce anche di quanto disposto con la nota del Ministero del Lavoro del 18 giugno 2015).

Smart working e BYOD: gli adempimenti necessari

Come procedere allora? Quali accortezze adottare per preservare la sicurezza dell’azienda e quali sono gli adempimenti che si renderanno necessari per essere compliant rispetto alla cornice normativa dettata in materia di protezione dei dati personali?

Innanzitutto, per quanto rappresenti la soluzione più drastica, a seguito di un’analisi costi-benefici il datore di lavoro potrà valutare la possibilità di vietare il ricorso al BYOD all’interno del proprio contesto aziendale, oppure, come soluzione intermedia, optare per un modello CYOD (Choose Your Own Device, ossia Scegli Il Tuo Dispositivo) con il quale i dipendenti sarebbero liberi di scegliere il dispositivo personale tra quelli messi a disposizione dallo stesso datore di lavoro, che sarebbe così in grado di meglio gestirne la sicurezza e gli aggiornamenti lato software.

Se invece, a seguito di un’attenta ponderazione circa l’impatto sulla sicurezza della struttura IT e sulla protezione dei dati, la scelta cadrà su una soluzione di tipo BYOD “puro”, dal punto di vista della sicurezza, come suggerito dall’Opinion 2/2017 del WP29 inerente al trattamento dei dati sul posto di lavoro, andrebbero certamente previste delle misure volte a tutelare i dati dell’azienda, tra i quali il ricorso a sistemi di Mobile Device Management in grado di consentire al datore di lavoro di configurare e controllare con una sola operazione i dispositivi mobili dei dipendenti o la creazione di VPN appositamente realizzate per il trasferimento di dati dal dispositivo del lavoratore al data center aziendale.

Dal punto di vista della tutela dei dati personali del dipendente, massima attenzione dovrà esser riservata al rispetto dei principi di privacy by design e privacy by default ex art. 25 GDPR, che nel caso de quo si tradurrebbero, rispettivamente, nella necessità di adottare e garantire delle misure tecniche e organizzative di sicurezza per la tutela dei dati del dipendente (ad es. calibrare il controllo in modo che non sia possibile entrare in contatto con file personali) fin dalla progettazione del sistema con cui saranno monitorati i dispositivi e nel rispetto del principio di minimizzazione dei dati.

Parimenti importante è il rispetto del principio di accountability, vero fil rouge della normativa europea, per il quale il titolare del trattamento (il datore di lavoro) sarà chiamato a rendicontare le scelte fatte in materia di sicurezza e gli adempimenti adottati con riferimento alla dotazione di un modello BYOD all’interno dell’azienda.

Senz’altro centrale, inoltre, la necessità di redigere una policy sulle modalità di utilizzo, i limiti e gli obblighi per l’utilizzo del proprio dispositivo da parte del dipendente (ad esempio l’obbligo di impostare una password per lo sblocco del device o la cifratura dei dati aziendali).

In ottica di trasparenza si renderà necessaria l’adozione di un’apposita informativa con cui dar conto al dipendente delle finalità e delle modalità con cui eventualmente si svolgerà il monitoraggio del proprio dispositivo. Un controllo che nel caso in cui avvenga con modalità tali da prevedere l’uso di particolari tecnologie e presenti un rischio per i diritti e le libertà delle persone fisiche condurrebbe, come disciplinato ai sensi del primo comma dell’art. 35 GDPR, alla necessità di svolgere una valutazione d’impatto.

Ancora, l’adozione di misure tecniche e organizzative adeguate (art. 32 GDPR), così come una procedura interna da adottare nelle ipotesi di data breach dei dati (artt. 33 e 34 GDPR) contenuti sul dispositivo personale del dipendente saranno indispensabili per far fronte alle criticità sotto il profilo della sicurezza.

Infine, da non dimenticare la formazione del proprio personale dipendente (esplicitamente richiesta agli artt. 29 e 32 GDPR) al fine di una sensibilizzazione rispetto ai rischi più sopra richiamati.

Conclusioni

Qualunque sia il contesto in cui il metodo BYOD sia inserito dunque, appare chiaro come a fronte dei notevoli vantaggi portati da questa soluzione all’interno del proprio contesto lavorativo, si pone la fondamentale esigenza di contemperamento tra gli interessi di sicurezza aziendale e di protezione dei dati personali, siano essi riferiti ai clienti e ai fornitori dell’azienda che agli stessi dipendenti.

Una necessità che è tanto più fondamentale in considerazione dei sempre crescenti attacchi informatici a cui le aziende sono esposte nonché delle rinnovate esigenze dettate dal nuovo tessuto normativo in materia di protezione dei dati personali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5