BYOD, IoT e smart working: la gestione del rischio dal punto di vista legale

23/12/2020
di Valentina Frediani

Articolo Pubblicato da IOTtoday il 23 Dicembre 2020

L’ultimo anno ha comportato un notevole potenziamento dello smart working e, di conseguenza, anche l’utilizzo di dispositivi mobili personali nell’ambiente di lavoro, il cosiddetto BYOD, è divenuto più intenso. Il connubio tra questi elementi può generare una serie di rischi anche dal punto di vista legale laddove non disciplinati preliminarmente. Oltre, ovviamente, al tema privacy, occorre prendere in considerazione la tutela delle informazioni aziendali che possono circolare all’esterno del perimetro aziendale in concomitanza allo svolgimento del lavoro decentralizzato. Ad oggi, infatti, il datore di lavoro ha certamente delle responsabilità, connesse alla preventiva valutazione del rischio, rispetto agli strumenti consentiti in questa sorta di “alterata” quotidianità lavorativa.

Analizziamo nello specifico da un lato gli elementi che contribuiscono ad una valutazione preventiva del rischio connesso a questa modalità di lavoro e, dall’altro, gli strumenti di natura legale che possono essere adottati per gestire in conformità le varie vulnerabilità collegate.

Per valutare il rischio occorre, innanzitutto, mappare le figure che possono interagire, da un punto di vista pratico, con i dati gestiti tramite BYOD con gli strumenti connessi, piuttosto che con le informazioni di natura aziendale. Una volta effettuata la mappatura, occorre comprendere quali siano le autorizzazioni che possono essere concesse (ovvero quali dati siano gestibili tramite BYOD e come). Deve seguire poi apposita formalizzazione – come prevede anche la normativa in materia di privacy considerando che, sicuramente in via incidentale, potranno essere trattati anche dati personali – affinché non vi siano margini di errore sull’applicazione pratica delle istruzioni stesse.

Molte aziende, infatti, sono carenti sotto il profilo regolamentare, omettendo di prescrivere in modalità chiara e trasparente le ipotesi di ricorso al BYOD per i propri dipendenti e lasciando così un cono d’ombra su quelli che possono essere i poteri e doveri legati a questa tematica. Così facendo si creano pericolosi equivoci su come il lavoratore possa gestire le informazioni, restando nell’ambito delle indicazioni datoriali. È importante evidenziare che l’azienda resta sempre e comunque titolare delle informazioni raccolte e trattate da qualunque device del dipendente.

Un aspetto centrale concerne l’allocazione e le modalità di tutela per lo scambio dei dati: deve essere ben chiaro come il ricorso al BYOD non equivalga all’introduzione di una gestione “autonoma e separata” dello strumento da parte del dipendente. Quindi devono essere ben dettagliate le politiche di sicurezza concernenti lo scambio dei dati, la loro conservazione ed eventuali procedure relative alla gestione dei breach che potrebbero verificarsi.

Un’ipotesi da specificare riguarda, inoltre, l’eventuale furto o perdita del device: è fondamentale che il dipendente sia istruito sugli step da seguire, in ordine temporale ed organizzativo, per ridurre il più possibile gli esiti dei rischi relativi ai dati gestiti in BYOD; ciò potrebbe infatti ripercuotersi sui numeri della produzione, sul blocco della stessa, sino ad arrivare ad una alterazione tale da far nascere responsabilità a carico dell’azienda stessa.

Appare evidente come il tema del BYOD, proiettato nell’azienda e più che mai connesso all’ambito IoT, non possa che essere gestito a seguito di una attenta e minuziosa valutazione dei rischi, affidandosi ad una preventiva progettazione non solo della soluzione tecnologica, ma anche sul fronte degli impatti legali.

Da una parte il datore di lavoro, che non provveda in tal senso, avrà una responsabilità omissiva – non banale – in grado di generare danni diretti e indiretti rispetto alla filiera della produzione, senza contare le implicazioni rispetto allo Statuto dei Lavoratori. Dall’altra parte il dipendente mantiene comunque delle responsabilità di gestione dei dati, che sono anche più spiccate, che riguardano l’eventuale violazione dell’apposito regolamento aziendale che dovrà – dunque – essere ben compreso e attuato.

Riproduzione riservata ©

ALTRE NEWS

Verso il Regolamento Europeo: affrontare il percorso di adeguamento normativo

Si è protratto per quasi quattro anni, l’iter di creazione e modifica della normativa europea inerente la protezione dei dati personali. Lo scorso 15 dicembre… Leggi Tutto

DPO e sistemi informativi a tre anni dall’entrata in vigore del GDPR

L’Autorità Garante per la protezione dei dati personali ha recentemente ribadito come il tema degli attacchi costituirà oggetto di indagine ai fini dei controlli di… Leggi Tutto

Intellectual Property e Web: tutelare il patrimonio

In uno scenario tecnologico in continua evoluzione, il concetto di capitale intellettuale ha assunto un ruolo centrale in ambito aziendale, divenendo uno dei principali asset… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form