BYOD e Management: come ottenere il giusto equilibrio tra rischi e opportunità
Parlando di BYOD è opportuno precisare che laddove sul dispositivo consumer siano presenti dati o informazioni aziendali qualificabili come personali, per i quali la Società riveste il ruolo di Titolare del trattamento ex art. art 4 lett. f) D.Lgs. 196/2003, per la stessa vige l’obbligo di porre in essere tutti gli adempimenti voluti dal Codice Privacy e dai Provvedimenti dall’Autorità Garante, fermo restando che altrimenti potrebbero essergli contestate eventuali inadempienze sotto il profilo della sicurezza oppure trattamenti non conformi o illegittimi posti in essere anche dai propri dipendenti.
Ecco quindi che proteggere i dati aziendali e scongiurarne la perdita divengono due delle preoccupazioni principali rispetto al BYOD. Le aziende titolari dovranno difatti analizzare i profili legati alla sicurezza rispetto alle tre possibili modalità di utilizzo del BYOD, ossia browser, nativa e virtuale, ed altresì rispetto al data location, atteso che i dati personali trattati attraverso i dispositivi mobili possono essere allocati sia sul dispositivo stesso, sia su un server interno alla rete aziendale, in un private cloud o in un cloud pubblico. Sarà pertanto specifico compito del CIO esaminare sia dal punto di vista tecnico che documentale/contrattuale quale delle tre modalità sia la più confacente rispetto alle finalità prefigurate, così da attuarla previo vaglio di tutti gli argomenti connessi alla sicurezza dei dati.
Tuttavia, se il proliferare della digitalizzazione dei processi aziendali ha indubbi vantaggi in termini sia strategici che di ottimizzazione, i reati informatici possono essere definiti come il risvolto negativo dello sviluppo tecnologico, ed interessano naturalmente anche il fenomeno del BYOD.
Un fondamentale passaggio normativo in materia di computer crimes è stata la Legge n. 48 del 2008 che – ratificando la Convenzione di Budapest sulla criminalità informatica – ha apportato alcune modifiche al Codice Penale ed al Codice di Procedura Penale, ed ha aggiunto al D.L.gs. 231/2001 l’art. 24-bis titolato “Delitti informatici e trattamento illecito dei dati”. Proprio l’introduzione dei reati informatici tra quelli presupposto contemplati nel Decreto sulla responsabilità amministrativa degli enti dovrebbe far riflettere le aziende su tutti i trattamenti posti in essere, anche quando si parla di BYOD. Ciò a maggior ragione se si prende in considerazione quanto sancito dall’art. 8 comma 1 del Decreto 231, secondo il quale la responsabilità dell’Ente sussiste anche quando l’autore del reato non sia stato identificato o non sia imputabile. A prescindere dalle valutazioni di opportunità sulle scelte legislative, salta indubbiamente agli occhi come nei reati informatici tale possibilità aumenti in modo esponenziale. Per queste ragioni lo strumento – ergo i dati con esso trattati – deve essere prudenzialmente governato anche mediante rigorose policy interne che bilancino le normative variamente coinvolte nel BYOD, ossia quella privacy, quella giuslavoristica in materia di controllo a distanza e quella penalistica.
E’ evidente dunque che nella mappatura del rischio di un reato informatico utile alla stesura del MOG, il BYOD dovrebbe indubbiamente essere contemplato. Questo non solo in considerazione delle possibili responsabilità ex 231 che potrebbero essere contestate all’azienda, ma anche perché i dati e le informazioni trattate con il device consumer possono essere della natura più diversificata, e ad oggi le informazioni sono quel quid pluris che l’azienda non può permettersi di non tutelare.
Le frodi informatiche, le falsificazioni dell’integrità dei dati e dei sistemi informatici, nonché la riservatezza dei dati e delle comunicazioni informatiche sono reati di forte impatto sia economico che sulla reputation aziendale ed una precisa politica di prevenzione deve investire anche un fenomeno, quello del BYOD, che molto spesso viene purtroppo sottovalutato con evidenti rischi per le aziende.
Articolo pubblicato sul sito www.byod.it in data 8 Luglio 2014