BYOD, IoT e smart working: la gestione del rischio dal punto di vista legale

Articolo Pubblicato da IOTtoday il 23 Dicembre 2020

L’ultimo anno ha comportato un notevole potenziamento dello smart working e, di conseguenza, anche l’utilizzo di dispositivi mobili personali nell’ambiente di lavoro, il cosiddetto BYOD, è divenuto più intenso. Il connubio tra questi elementi può generare una serie di rischi anche dal punto di vista legale laddove non disciplinati preliminarmente. Oltre, ovviamente, al tema privacy, occorre prendere in considerazione la tutela delle informazioni aziendali che possono circolare all’esterno del perimetro aziendale in concomitanza allo svolgimento del lavoro decentralizzato. Ad oggi, infatti, il datore di lavoro ha certamente delle responsabilità, connesse alla preventiva valutazione del rischio, rispetto agli strumenti consentiti in questa sorta di “alterata” quotidianità lavorativa.

Analizziamo nello specifico da un lato gli elementi che contribuiscono ad una valutazione preventiva del rischio connesso a questa modalità di lavoro e, dall’altro, gli strumenti di natura legale che possono essere adottati per gestire in conformità le varie vulnerabilità collegate.

Per valutare il rischio occorre, innanzitutto, mappare le figure che possono interagire, da un punto di vista pratico, con i dati gestiti tramite BYOD con gli strumenti connessi, piuttosto che con le informazioni di natura aziendale. Una volta effettuata la mappatura, occorre comprendere quali siano le autorizzazioni che possono essere concesse (ovvero quali dati siano gestibili tramite BYOD e come). Deve seguire poi apposita formalizzazione – come prevede anche la normativa in materia di privacy considerando che, sicuramente in via incidentale, potranno essere trattati anche dati personali – affinché non vi siano margini di errore sull’applicazione pratica delle istruzioni stesse.

Molte aziende, infatti, sono carenti sotto il profilo regolamentare, omettendo di prescrivere in modalità chiara e trasparente le ipotesi di ricorso al BYOD per i propri dipendenti e lasciando così un cono d’ombra su quelli che possono essere i poteri e doveri legati a questa tematica. Così facendo si creano pericolosi equivoci su come il lavoratore possa gestire le informazioni, restando nell’ambito delle indicazioni datoriali. È importante evidenziare che l’azienda resta sempre e comunque titolare delle informazioni raccolte e trattate da qualunque device del dipendente.

Un aspetto centrale concerne l’allocazione e le modalità di tutela per lo scambio dei dati: deve essere ben chiaro come il ricorso al BYOD non equivalga all’introduzione di una gestione “autonoma e separata” dello strumento da parte del dipendente. Quindi devono essere ben dettagliate le politiche di sicurezza concernenti lo scambio dei dati, la loro conservazione ed eventuali procedure relative alla gestione dei breach che potrebbero verificarsi.

Un’ipotesi da specificare riguarda, inoltre, l’eventuale furto o perdita del device: è fondamentale che il dipendente sia istruito sugli step da seguire, in ordine temporale ed organizzativo, per ridurre il più possibile gli esiti dei rischi relativi ai dati gestiti in BYOD; ciò potrebbe infatti ripercuotersi sui numeri della produzione, sul blocco della stessa, sino ad arrivare ad una alterazione tale da far nascere responsabilità a carico dell’azienda stessa.

Appare evidente come il tema del BYOD, proiettato nell’azienda e più che mai connesso all’ambito IoT, non possa che essere gestito a seguito di una attenta e minuziosa valutazione dei rischi, affidandosi ad una preventiva progettazione non solo della soluzione tecnologica, ma anche sul fronte degli impatti legali.

Da una parte il datore di lavoro, che non provveda in tal senso, avrà una responsabilità omissiva – non banale – in grado di generare danni diretti e indiretti rispetto alla filiera della produzione, senza contare le implicazioni rispetto allo Statuto dei Lavoratori. Dall’altra parte il dipendente mantiene comunque delle responsabilità di gestione dei dati, che sono anche più spiccate, che riguardano l’eventuale violazione dell’apposito regolamento aziendale che dovrà – dunque – essere ben compreso e attuato.