Privacy & BYOD: una questione complessa
Le esigenze lavorative ed aziendali sono in continua evoluzione, l’effetto, dilagante, della digitalizzazione dell’impresa e la crescente tendenza alla consolidazione nella cultura lavorativa italiana dello smart working o di forme analoghe pongono, quotidianamente, l’impresa davanti ad una serie di scelte importanti. Tra queste rientra, certamente, l’acquisto di attrezzature informatiche utili ai lavoratori per svolgere la propria attività. Ma questa non è l’unica scelta strategica, infatti, l’azienda potrebbe adottare, quale politica aziendale, l’implementazione di sistemi di c.d. “Bring Your Own Device” (noto anche come BYOD).
Il BYOD consiste nel permettere, in ambito lavorativo, l’utilizzo di dispositivi mobili personali dei lavoratori per lo svolgimento delle loro attività, indipendentemente dal luogo di esecuzione della prestazione (ufficio/casa). Questa “linea strategica” potrebbe risultare, a prima vista, piuttosto allettante per l’azienda in quanto permetterebbe al datore di lavoro di risparmiare sull’acquisto, sulla manutenzione e sulla sostituzione dei dispositivi mobili in uso al personale, come il cellulare aziendale o il computer portatile.
Ad uno sguardo più approfondito, nell’ottica del rispetto della normativa in materia di protezione dei dati personali e in conformità con le norme relative alla gestione dei rapporti di lavoro (prima tra tutte quella relativa al controllo a distanza del personale dipendente), vi sono, però, molte questioni che devono essere risolte prima che l’impresa possa adottare tale politica aziendale.
Innanzitutto, preme rilevare come l’Azienda non possa ritenersi libera da responsabilità per il solo fatto che i lavoratori utilizzino i “propri” dispositivi personali, rimanendo pertanto obbligata sia sotto il profilo civilistico che in ambito GDPR essendo, per questa ipotesi, ribadito il ruolo di Titolare.
Pertanto, proprio in ambito Privacy, e dunque nel pieno rispetto del principio di accountability, ex articolo 24 del GDPR, l’impresa dovrà adottare tutte le misure tecniche ed organizzative atte a garantire un livello di sicurezza adeguato al rischio, così come risulta dal combinato disposto degli articoli 22 e 32 del GDPR.
Resta inteso che le misure che il Titolare dovrà intraprendere, sia sotto il profilo tecnico che organizzativo, dovranno essere decisamente più complesse rispetto a quelle che adotterebbe nell’ipotesi in cui valutasse l’utilità di utilizzare dispositivi, anche mobili, totalmente aziendali.
Ma vi è di più. L’impresa dovrà provvedere, altresì, ad una massiva campagna di sensibilizzazione ed istruzione dei propri lavoratori, con appositi corsi a tema protezione dei dati personali e garantire che essi abbiano almeno una basilare conoscenza delle regole di “igiene cibernetica”, adempimento, anche in questo caso, decisamente più complesso rispetto al percorso formativo previsto per l’utilizzo di device aziendali.
Non solo, l’impiego, vivamente consigliato, di un regolamento per l’utilizzo dei device dovrà essere ampliato con una apposita sezione riguardante il BYOD ovvero, qualora un regolamento aziendale per l’utilizzo dei device non fosse presente, l’impresa dovrà provvedere a predisporne uno comprendente una dedicata sezione. I lavoratori dovranno, quindi, essere informati sulle conseguenze dell’implementazione del BYOD, in quanto da esso ha comunque conseguenze rilevanti per la Privacy degli stessi lavoratori.
Inoltre, l’utilizzo di tale iniziativa avrebbe risvolti rilevanti in ambito di giuslavoristico.
Infatti, l’invasività delle misure di controllo a distanza si scontra anche con lo Statuto dei Lavoratori (L.300/70), in particolare con l’articolo 4, dato che tali misure rientrerebbero nel controllo a distanza delle attività dei lavoratori.
(Nella foto: Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano)
Anche in questo senso occorrerebbe implementare, sensibilmente, le istruzioni, le procedure ed i processi necessarie all’implementazione del BYOD a salvaguardia dei Lavoratori.
In riferimento ai device mobili personali coinvolti, per rispettare i dettami del GDPR ed evitare pesanti sanzioni, l’impresa dovrà, altresì, provvedere alla loro sicurezza con l’installazione di appositi antivirus, della segregazione tra la sezione adibita all’uso personale da parte del lavoratore e quella adibita allo svolgimento della mansione del lavoratore.
Infine, vale la pena menzionare l’opportunità di un’apposita valutazione d’impatto della protezione dei dati che dovrà tenere conto dei maggiori rischi e vulnerabilità che comporta l’implementazione di una politica di BYOD.
In conclusione si può ritenere come il processo per l’adozione di una politica di BYOD sia sicuramente complesso anche a fronte degli ostacoli tecnici e normativi su sommariamente indicati, imponendo un deciso innalzamento di tutte le misure di sicurezza e protezione da implementare per proteggere dati e informazioni aziendali da potenziali incidenti di sicurezza.
Queste considerazioni rappresentano, ad ogni modo, solo una preliminare e non esaustiva valutazione circa le importanti problematiche e le questioni che ogni azienda dovrà prendere in considerazione nel momento in cui decide di valutare una potenziale implementazione di sistemi di BYOD come politica aziendale.