BYOD e privacy, cosa dice l’Opinion del WP29

Nell’ultimo periodo, stiamo assistendo ad una crescita delle vendite e dell’utilizzo di dispositivi mobili, come ad esempio smartphone, tablet e notebook (secondo Gartner Inc.  nel terzo trimestre sono stati venduti circa 383 milioni di smartphone). Questi dispositivi hanno ormai le stesse capacità dei dispositivi “fissi” come i pc desktop. Difatti, sono in grado di effettuare qualsiasi tipo di operazione che venga richiesta. Questa ininterrotta evoluzione ha notevolmente cambiato le abitudini e gli usi di tantissime persone, indipendentemente dalla fascia di età di appartenenza, generando un mondo sempre più interconnesso. Questo fatto non ha solo influenzato le scelte dei consumatori, ma anche influenzato le scelte delle aziende, perché hanno dovuto fronteggiare le molteplici richieste provenienti dai propri dipendenti, che hanno richiesto sempre con più forza la possibilità di utilizzare i propri dispositivi mobili per  poter lavorare e svolgere le proprie mansioni.

Questo progresso tecnologico collegato alle richieste dei dipendenti ha generato il fenomeno del c.d. BYOD (Bring Your Own Device). Con questa espressione si intendono tutte quelle politiche aziendali che permettono e disciplinano l’utilizzo da parte dei dipendenti dei propri dispositivi mobili per rendere la prestazione lavorativa. Quindi, attraverso queste politiche, i dipendenti possono accedere alle reti e alle informazioni aziendali tramite i loro dispositivi personali.

Tuttavia, è bene precisare fin da subito, per una questione di chiarezza espositiva, che il BYOD non si riferisce solo ai “dipendenti” in senso stretto, ossia tutti quei soggetti che sono legati all’azienda da un contratto di lavoro subordinato, indifferentemente che sia a tempo indeterminato o determinato, ma riguarda tutti quei soggetti che lavorano per conto dell’azienda, come lavoratori a progetto, consulenti, somministrati etc.. Quindi non riguarda esclusivamente i lavoratori dipendenti.

Come potete immaginare il BYOD ha dei notevoli vantaggi per le aziende e per i lavoratori, ma comporta dei rischi piuttosto rilevanti.

Tra i vantaggi di questo fenomeno possiamo sicuramente annoverare la riduzione dei costi a carico dell’azienda, in quanto quest’ultima sfrutta i dispositivi personali del lavoratore e pertanto non dovrà più sostenere costi di acquisto, aggiornamento e sostituzione, poiché saranno tutti a carico del lavoratore stesso.

Tuttavia questa politica, come già detto in precedenza, comporta dei rischi rilevanti per l’azienda, che non sono assolutamente da sottovalutare. Il maggiore rischio è quello dell’uso promiscuo del dispositivo, il quale viene utilizzato per scopi professionali e per scopi personali. Questo rischio è da valutare soprattutto sotto il profilo della privacy.

Il datore di lavoro che intende adottare questa politica relativa all’utilizzo dei dispositivi mobili dei lavoratori anche a scopo professionale, dovrà tenere conto dei profili relativi alla privacy, e pertanto conformarsi alle disposizioni del nuovo Regolamento Europeo in materia di protezione dei dati personali (Regolamento UE 2016/679) che sostituirà il D.lgs. 196/2003 (il c.d. “Codice privacy”).

In questa situazione complessa, il datore di lavoro, per conformarsi agli obblighi legislativi, dovrà applicare su dispositivi che non sono di sua proprietà (ma che sono di proprietà dei lavoratori) tutte le misure di sicurezza che servono per proteggere i dati di cui risulta essere Titolare del trattamento.

Tuttavia questa attività trova un importante ostacolo, poiché sul dispositivo mobile sono presenti contemporaneamente dati aziendali e dati attinenti alla sfera personale del lavoratore.

Pertanto il datore di lavoro, quando dovrà applicare sul dispositivo in questione tutte le misure di sicurezza per proteggere i dati personali di cui è Titolare, dovrà tenere conto della privacy del lavoratore.

Questo concetto è stato ribadito di recente anche dal Gruppo “Articolo 29” (WP29) il quale ha pubblicato l’Opinion 2/2017 on data processing at work, la quale pone all’attenzione dei datori di lavoro il diritto alla privacy dei lavoratori.

In questo documento, il WP29, tra i vari temi trattati, pone anche l’attenzione sul BYOD, delineando i maggiori rischi per la privacy del lavoratore come ad esempio il monitoraggio della posizione e del traffico, il quale potrebbe essere illegale qualora raccogliesse anche i dati relativi alla vita privata e familiare del dipendente. Infatti, per scongiurare queste criticità, il WP 29 raccomanda l’uso di tecnologie adeguate al fine di evitare il monitoraggio o comunque l’accesso a dati attinenti alla sfera privata del lavoratore.

In conclusione, possiamo dire che il BYOD, tenuto conto del rapporto costi/benefici ha delle enormi potenzialità, tuttavia comporta dei rischi enormi. Nel caso in cui le aziende decidano di adottare una politica di questo tipo è importante che tengano conto dei profili inerenti la privacy del lavoratore, evitando l’accesso alle informazioni che riguardo la sfera privata di quest’ultimo, poiché l’accesso non autorizzato a questi dati potrebbe comportare l’applicazione delle sanzioni previste dal nuovo Regolamento Europeo in materia di protezione dei dati personali.