Il crescente ricorso allo smart working quale misura utile a contenere il contagio da Covid-19 nei luoghi di lavoro, ha determinato l’insorgenza in capo ai datori di lavoro di significativi dubbi riguardo all’utilizzo di dispositivi mobili da parte dei dipendenti per finalità legate allo svolgimento dell’attività lavorativa.
In prima battuta è utile precisare che gli smart worker possono avvalersi di dispositivi mobili assegnati loro dall’azienda oppure di dispositivi personali utilizzati sia per fini lavorativi che per fini privati. In quest’ultimo caso, siamo di fronte al c.d. fenomeno del BYOD (acronimo di Bring Your Own Device, in italiano “porta il tuo dispositivo”): si tratta di una politica aziendale, attualmente molto in voga, che consente ai dipendenti di utilizzare dispositivi mobili personali come pc, tablet, smartphone, chiavette USB, hard disk e cloud per avere accesso alle informazioni aziendali.
È evidente che il ricorso a questo tipo di soluzione ha permesso alle aziende di abbattere il costo legato all’acquisto di strumenti informatici da fornire ai dipendenti ma, d’altro canto, non è possibile trascurare l’impatto che l’uso di dispositivi di proprietà dei lavoratori inevitabilmente comporta sulla protezione dei dati personali.
A tal proposito, trovano applicazione le Linee Guida pubblicate nel 2015 dal Garante Europeo della protezione dei dati sull’utilizzo di dispositivi mobili per motivi di lavoro che, nonostante abbiano come destinatari diretti le istituzioni e gli organi dell’UE, possono essere applicate a qualsiasi organizzazione, anche privata, che si avvale dei BYOD senza rinunciare alla protezione dei dati.
Le Linee Guida prendono le mosse delle principali criticità generate dall’utilizzo del BYOD e cioè dal fatto che:
- Gli utenti che utilizzano dispositivi mobili per motivi di lavoro non sono consapevoli che un’azione su tale dispositivo può comportare un trattamento di dati personali, soggetto quindi alle condizioni e ai limiti del Regolamento UE 2016/679 (“GDPR”);
- Attraverso l’uso di app installate su dispositivi mobili vengano comunicati dati personali senza che l’utente ne sia cosciente;
- Il lavoratore utilizzando un dispositivo privato trasmetta sia dati personali che dati aziendali. Ovviamente, tutto ciò sfugge al controllo del datore di lavoro e questo potrebbe minare alla sicurezza dei dati in questione.
Ecco che per ridurre al minimo tali rischi, si profila utile il rispetto delle raccomandazioni fornite dal Garante Europeo della privacy. È bene, cioè, che le aziende predispongano misure di sicurezza adeguate, in rapporto al rischio calcolato, a garantire l’uso sicuro dei dispositivi mobili.
Pertanto, in primis, come accade per ogni trattamento di dati personali, va effettuata una valutazione dei principali rischi sulla sicurezza che l’uso dei dispositivi mobili può comportare ; successivamente, vanno individuati i controlli appropriati da attuare per ridurre i rischi ad un livello accettabile. Si precisa che il processo di gestione del rischio deve includere un riesame periodico della valutazione del rischio, delle misure e dei controlli stabiliti, tenendo conto della velocità con la quale “corre” l’evoluzione tecnologica.
È consigliabile, a questo punto, adottare misure di sicurezza appropriate. Tra quelle di tipo tecnico si possono citare, a titolo esemplificativo:
- Utilizzo di PIN/password per l’accesso al dispositivo mobile e ad applicazioni specifiche. Gli utenti che hanno accesso a informazioni aziendali e dati sensibili possono avere un secondo fattore di autenticazione oltre al PIN/password;
- Backup e ripristino delle informazioni aziendali nel dispositivo mobile;
- Blocco e cancellazione di applicazioni da remoto;
- Whitelist e blacklist delle applicazioni;
- Creazione di applicazioni aziendali;
- Inventario delle applicazioni dei dispositivi (sia istituzionali che personali);
- L’accesso alle reti interne aziendali dovrebbe essere concesso solo dopo aver convalidato la connessione di rete da un dispositivo mobile presente in un elenco di dispositivi autorizzati:
- Firewall, applicazioni anti-malware sui dispositivi mobili, nonché bloccare l’accesso alla rete aziendale per i dispositivi privi di tali firewall ed alle applicazioni con configurazioni obsolete. Sia i firewall che gli anti-malware devono essere aggiornati periodicamente.
Invece, tra le misure organizzative si suggerisce, ad esempio:
- La predisposizione di un piano di formazione: i lavoratori devono essere informati circa le regole da rispettare quando si utilizza un dispositivo mobile per scopi professionali, i rischi che tale utilizzo comporta in termini di sicurezza dei dati (inclusi quelli aziendali) trattati e diffusi e gli accorgimenti da adottare per ridurre al minimo il suddetto rischio;
- La messa a punto di una policy aziendale ad hoc approvata anche dal DPO e resa nota a tutti i dipendenti e collaboratori, che definisca tra le altre, regole idonee ad identificare il dispositivo e lo stato in cui si trova (nuovo, in manutenzione, da smaltire, ecc…), l’utente a cui è assegnato e la proprietà;
- La predisposizione di procedure di sicurezza per rispondere in modo rapido ed efficace a qualsiasi incidente di sicurezza (come la perdita o il furto di un dispositivo mobile).
Concludendo, si può affermare che applicando i principi sanciti dal GDPR e dalle Linee Guida dettate dalle autorità competenti in materia, i datori di lavoro potranno consentire l’utilizzo dei dispositivi mobili in modo da garantirne la sicurezza dei dati personali e aziendali contenuti , rispettando la riservatezza dei dipendenti stessi.
Avv. Adamo Brunetti – CEO & Co-Founder of CO.DE S.r.l.