Una BIA per i BYOD
Ci vuole una valutazione di impatto per i BYOD. Questo vale sia da un punto di vista strettamente giuridico, sia da un punto di vista dei meccanismi delle relazioni aziendali e sociali. La destrutturazione dell’azienda come complesso di strumenti ubicati nella sede di produzione di beni e servizi, oramai, è un fatto. Ma non per questo ci si può limitare a fare gli spettatori, perché è una vicenda troppo importante da perdonare la nostra inerzia.
È una vicenda, infatti, che porta molte conseguenze sul piano della progettazione del modello organizzativo privacy, e che deve essere valutata in tutte le sue sfaccettature sociologiche e culturali.
Non è solo utilizzare un computer anziché un altro. Non è solo una questione tecnica. Chi lo pensa sbaglia tutto, come sbaglia tutto chi pensa che la protezione dei dati sia solo una questione di sicurezza. (Per ulteriori approfondimenti, vedasi anche l'articolo "Privacy & BYOD: una questione complessa")
Usare il proprio dispositivo ha conseguenze economiche, sul piano della parte normativa del contratto di lavoro, coinvolge il ruolo delle rappresentanze collettive dei lavoratori dipendenti, comporta una revisione totale del potere direttivo, visto che il lavoratore non è più sotto il controllo visivo del datore di lavoro, implica un diverso modo di approcciare il cliente, ridisegna l’identikit del lavoratore dipendente e modifica la consapevolezza della propria identità sia dei lavoratori sia dei datori di lavoro, cambia la logistica delle attività economiche e addirittura la geografia urbana.
Se da questo quadro si stralcia il capitolo della protezione dei dati, si commette un piccolo errore di prospettiva, ma ben vengano i richiami e i moniti delle disposizioni sulla protezione dei dati, ben vengano se servono ad aprire la pista a riflessioni di più ampio respiro.
Con questa avvertenza non si vuole certo sminuire l’importanza e la delicatezza e la necessità di una impostazione di conformità al Gdpr e al codice della privacy. Anzi si vuole fare in modo che la conformità alle regole della privacy e della protezione dei dati non sia autoreferenziale, ma spalanchi la finestra a chi ha voglia di cogliere piccoli scorci, ma non trascura l’orizzonte.
D’altra parte la dimensione perennemente sovrastrutturale della privacy è una grazia e una condanna, ma non si può fare a meno di chi è indispensabile e non deve pretendere di apparirlo.
Che cosa esige, dunque, la privacy da chi vuole provare ad usare sistemi di BYOD?
Pretende che si faccia una BIA, cioè una Bring your own device Impact Assessment. Si deve valutare l’impatto dell’uso aziendale dei dispositivi appartenenti al dipendente.
Attenzione a non cadere nel gioco dialettico anche un po' fastidioso del Parere 2/2017 del WP29, leggendo il capitolo 5.4.2. del quale potrebbe sembrare che il sistema del Byod sia di tutto favore per il dipendente e un desiderio del lavoratore.
(Nella foto: l'Avv. Antonio Ciccia Messina)
Ovviamente non è proprio così e, anzi, questo sistema può essere una esigenza aziendale anziché del lavoratore, magari in periodi di pandemia e magari non si hanno abbastanza computer portatili da dare in dotazione agli smart worker e, nonostante ciò, non si può chiudere bottega.
Una volta sgomberato il campo da questo trabocchetto, possiamo comprendere la necessità di raggiungere la conformità “privacy”, necessità che riposa sulla constatazione tanto ovvia, quanto spesso accantonata e rimossa, che laddove ci sia promiscuità c’è pericolo.
La promiscuità di finalità riferita a soggetti diversi che usano lo stesso dispositivo deve essere governata con la separazione degli ambiti e delle azioni.
Lasciare correre la promiscuità significa abbandonarsi al rischio, che da qualche parte è capitato già: leggere per capire il provvedimento sanzionatorio del garante polacco, che ha ingiunto a una università il pagamento di una sanzione di 11.200 euro per il furto di un notebook di proprietà di un dipendente contenente dati personali degli studenti.
La tecnica della redazione delle valutazioni di impatto privacy è, sulla carta, ormai rodata e prevedibile: censimento degli asset, individuazione dei pericoli, accertamento delle misure in essere, verifica delle lacune, adozione delle precauzioni ulteriori e controllo della efficacia delle stesse, per poi ricominciare da capo.
Detto così pare pure semplice e, invece, è maledettamente complicato soprattutto a riguardo della regolamentazione delle situazioni in cui è necessario che un soggetto diverso dal possessore del dispositivo debba accedere al dispositivo stesso. Può essere per ripararlo, può essere perché un ufficio amministrativo deve leggere le informazioni e magari questa esigenza non coincide con l’uso privato del dispositivo e così via. (A tal proposito, può essere di pratico supporto la Circolare Federprivacy n. 2-2021 sul BYOD impact assessment per l’utilizzo aziendale dei dispostivi appartenenti al lavoratore)
Parlare di BYOD e privacy significa in concreto scrivere se e come e quando si può accedere da remoto al dispositivo, significa regolare tempi e modo di utilizzo, significa regolare il conto in maniera equa se ci sono delle spese da sostenere per dotazioni e interventi di manutenzione, significa capire come fare nel caso in cui il dispositivo sia da buttare via e così via.
Datori di lavoro e lavoratori, singoli e organizzati, devono essere capaci di risolvere le questioni tenendo sullo sfondo le espressioni vaghe e generiche di parafrasi di norme altrettanto vaghe e generiche. La BIA è troppo importante per accontentarsi della general-genericità di affermazioni simil normative buone a tutto, tranne che a dare indirizzi pratici e concreti.