BYOD, IoT e smart working: la gestione del rischio dal punto di vista legale

23/12/2020
di Valentina Frediani

Articolo Pubblicato da IOTtoday il 23 Dicembre 2020

L’ultimo anno ha comportato un notevole potenziamento dello smart working e, di conseguenza, anche l’utilizzo di dispositivi mobili personali nell’ambiente di lavoro, il cosiddetto BYOD, è divenuto più intenso. Il connubio tra questi elementi può generare una serie di rischi anche dal punto di vista legale laddove non disciplinati preliminarmente. Oltre, ovviamente, al tema privacy, occorre prendere in considerazione la tutela delle informazioni aziendali che possono circolare all’esterno del perimetro aziendale in concomitanza allo svolgimento del lavoro decentralizzato. Ad oggi, infatti, il datore di lavoro ha certamente delle responsabilità, connesse alla preventiva valutazione del rischio, rispetto agli strumenti consentiti in questa sorta di “alterata” quotidianità lavorativa.

Analizziamo nello specifico da un lato gli elementi che contribuiscono ad una valutazione preventiva del rischio connesso a questa modalità di lavoro e, dall’altro, gli strumenti di natura legale che possono essere adottati per gestire in conformità le varie vulnerabilità collegate.

Per valutare il rischio occorre, innanzitutto, mappare le figure che possono interagire, da un punto di vista pratico, con i dati gestiti tramite BYOD con gli strumenti connessi, piuttosto che con le informazioni di natura aziendale. Una volta effettuata la mappatura, occorre comprendere quali siano le autorizzazioni che possono essere concesse (ovvero quali dati siano gestibili tramite BYOD e come). Deve seguire poi apposita formalizzazione – come prevede anche la normativa in materia di privacy considerando che, sicuramente in via incidentale, potranno essere trattati anche dati personali – affinché non vi siano margini di errore sull’applicazione pratica delle istruzioni stesse.

Molte aziende, infatti, sono carenti sotto il profilo regolamentare, omettendo di prescrivere in modalità chiara e trasparente le ipotesi di ricorso al BYOD per i propri dipendenti e lasciando così un cono d’ombra su quelli che possono essere i poteri e doveri legati a questa tematica. Così facendo si creano pericolosi equivoci su come il lavoratore possa gestire le informazioni, restando nell’ambito delle indicazioni datoriali. È importante evidenziare che l’azienda resta sempre e comunque titolare delle informazioni raccolte e trattate da qualunque device del dipendente.

Un aspetto centrale concerne l’allocazione e le modalità di tutela per lo scambio dei dati: deve essere ben chiaro come il ricorso al BYOD non equivalga all’introduzione di una gestione “autonoma e separata” dello strumento da parte del dipendente. Quindi devono essere ben dettagliate le politiche di sicurezza concernenti lo scambio dei dati, la loro conservazione ed eventuali procedure relative alla gestione dei breach che potrebbero verificarsi.

Un’ipotesi da specificare riguarda, inoltre, l’eventuale furto o perdita del device: è fondamentale che il dipendente sia istruito sugli step da seguire, in ordine temporale ed organizzativo, per ridurre il più possibile gli esiti dei rischi relativi ai dati gestiti in BYOD; ciò potrebbe infatti ripercuotersi sui numeri della produzione, sul blocco della stessa, sino ad arrivare ad una alterazione tale da far nascere responsabilità a carico dell’azienda stessa.

Appare evidente come il tema del BYOD, proiettato nell’azienda e più che mai connesso all’ambito IoT, non possa che essere gestito a seguito di una attenta e minuziosa valutazione dei rischi, affidandosi ad una preventiva progettazione non solo della soluzione tecnologica, ma anche sul fronte degli impatti legali.

Da una parte il datore di lavoro, che non provveda in tal senso, avrà una responsabilità omissiva – non banale – in grado di generare danni diretti e indiretti rispetto alla filiera della produzione, senza contare le implicazioni rispetto allo Statuto dei Lavoratori. Dall’altra parte il dipendente mantiene comunque delle responsabilità di gestione dei dati, che sono anche più spiccate, che riguardano l’eventuale violazione dell’apposito regolamento aziendale che dovrà – dunque – essere ben compreso e attuato.

Riproduzione riservata ©

ALTRE NEWS

Piani ispettivi del Garante: sanitario, call center, banche e gruppi immobiliari

L’attività ispettiva del Garante nel secondo semestre 2014 si chiude con un incremento del 20% rispetto all’anno precedente portando nelle casse dell’erario ben 5 milioni… Leggi Tutto

Adempimenti semplificati per il customer care

Le società che si occupano di customer care, assistenza post vendita, prenotazioni di servizi,  phone-banking non sono sempre tenute ad informare in maniera burocratica la… Leggi Tutto

Wi-fi libero: breve analisi del servizio di comunicazione elettronica accessibile al pubblico

Considerando la grande confusione che persiste in tema di WI_FI libero e sulla possibilità per l’esercente di attività commerciale di mettere a disposizione del pubblico… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.