BYOD è l’acronimo dell’espressione inglese “bring your own device“, che letteralmente significa “porta il tuo dispositivo“. L’acronimo identifica l’utilizzo, sempre più diffuso, dei dispositivi digitali personali (smartphone, tablet e pc) per svolgere mansioni lavorative. Che sia desiderio del dipendente o che sia una richiesta del datore di lavoro, l’utilizzo dei dispositivi personali in ambito lavorativo è possibile se viene gestito correttamente in termini di accordi (il BYOD non deve comportare oneri economici a carico del lavoratore) e di tutela degli aspetti di protezione dei dati personali (privacy).
I rischi nella gestione dei dati personali
L’introduzione dei dispositivi personali comporta necessariamente un maggiore utilizzo per fini personali rispetto a quanto possa accadere nel caso di dispositivi forniti dal datore di lavoro. Per quanto concentrato sul lavoro un dipendente possa essere, l’utilizzo per finalità personali di un dispositivo digitale di proprietà si può considerare certo al di fuori dell’orario di lavoro, e magari anche da parte di familiari.
Il datore di lavoro potrebbe ritenere cautelativo, rispetto alla tutela dei dati che il lavoratore tratta per suo conto, attuare sistemi di scansione del dispositivo, per esempio per rilevare la presenza di malware; oppure potrebbe monitorare l’ubicazione e il traffico del dispositivo per prevenire la trasmissione di dati a terzi. Di fatto, però, queste attività potrebbero determinare l’accesso a tutti i dati del dispositivo, compresi quelli privati, o l’acquisizione di informazioni sulla vita privata e familiare del lavoratore, risultando non commisurate rispetto alla finalità di tutela dei dati di cui il datore di lavoro è titolare.
Come gestire correttamente il BYOD
Un riferimento utile per gestire i problemi di sicurezza dei dati in caso di ricorso al BYOD, sono le Linee Guida WP249 pubblicate a giungo 2017 dal Gruppo di lavoro Art.29 (un gruppo di lavoro indipendente che si è occupato di valutare le problematiche connesse alla protezione dei dati dati personali fino al 25 maggio 2018).
Le proposte operative comprendono tre aspetti.
- L’attuazione di misure che consentano di distinguere l’uso privato da quello aziendale di un determinato dispositivo personale. Questo significa prima di tutto che i dati di interesse devono essere conservati in un “luogo dedicato” (ex. le cosiddette sandboxing, che conservano i dati in un’applicazione specifica). Ma un secondo aspetto riguarda la formazione del lavoratore che deve sapere che i dati relativi alla prestazione lavorativa non devono essere accessibili a terzi (conviventi, congiunti, conoscenti) e che non può memorizzarli in spazi virtuali diversi da quelli individuati dal datore di lavoro.
- Il ricorso a sistemi sicuri di trasferimento dei dati tra il dispositivo del dipendente e la rete aziendale (ex. connessione VPN), con la doppia finalità di evitare di conservare i dati sul dispositivo personale e anche di garantire la sicurezza del dati trattati in tutte le fasi del trattamento, trasferimento compreso.
- Il divieto per il datore di lavoro di richiedere o di autorizzare l’utilizzo di dispositivi personali nei casi in cui non sia possibile o sufficiente garantire la sicurezza dei dati o il rispetto della vita privata del dipendente attraverso l’adozione di misure specifiche, come quelle indicate ai punti precedenti.
La pratica del BYOD è quindi possibile, ma richiede al titolare del trattamento (il datore di lavoro) di valutare con cura le soluzioni di trasferimento, salvataggio e controllo prima di richiedere o autorizzare l’utilizzo di dispositivi personali per finalità lavorative.