BYOD, IoT e smart working: la gestione del rischio dal punto di vista legale

23/12/2020
di Valentina Frediani

Articolo Pubblicato da IOTtoday il 23 Dicembre 2020

L’ultimo anno ha comportato un notevole potenziamento dello smart working e, di conseguenza, anche l’utilizzo di dispositivi mobili personali nell’ambiente di lavoro, il cosiddetto BYOD, è divenuto più intenso. Il connubio tra questi elementi può generare una serie di rischi anche dal punto di vista legale laddove non disciplinati preliminarmente. Oltre, ovviamente, al tema privacy, occorre prendere in considerazione la tutela delle informazioni aziendali che possono circolare all’esterno del perimetro aziendale in concomitanza allo svolgimento del lavoro decentralizzato. Ad oggi, infatti, il datore di lavoro ha certamente delle responsabilità, connesse alla preventiva valutazione del rischio, rispetto agli strumenti consentiti in questa sorta di “alterata” quotidianità lavorativa.

Analizziamo nello specifico da un lato gli elementi che contribuiscono ad una valutazione preventiva del rischio connesso a questa modalità di lavoro e, dall’altro, gli strumenti di natura legale che possono essere adottati per gestire in conformità le varie vulnerabilità collegate.

Per valutare il rischio occorre, innanzitutto, mappare le figure che possono interagire, da un punto di vista pratico, con i dati gestiti tramite BYOD con gli strumenti connessi, piuttosto che con le informazioni di natura aziendale. Una volta effettuata la mappatura, occorre comprendere quali siano le autorizzazioni che possono essere concesse (ovvero quali dati siano gestibili tramite BYOD e come). Deve seguire poi apposita formalizzazione – come prevede anche la normativa in materia di privacy considerando che, sicuramente in via incidentale, potranno essere trattati anche dati personali – affinché non vi siano margini di errore sull’applicazione pratica delle istruzioni stesse.

Molte aziende, infatti, sono carenti sotto il profilo regolamentare, omettendo di prescrivere in modalità chiara e trasparente le ipotesi di ricorso al BYOD per i propri dipendenti e lasciando così un cono d’ombra su quelli che possono essere i poteri e doveri legati a questa tematica. Così facendo si creano pericolosi equivoci su come il lavoratore possa gestire le informazioni, restando nell’ambito delle indicazioni datoriali. È importante evidenziare che l’azienda resta sempre e comunque titolare delle informazioni raccolte e trattate da qualunque device del dipendente.

Un aspetto centrale concerne l’allocazione e le modalità di tutela per lo scambio dei dati: deve essere ben chiaro come il ricorso al BYOD non equivalga all’introduzione di una gestione “autonoma e separata” dello strumento da parte del dipendente. Quindi devono essere ben dettagliate le politiche di sicurezza concernenti lo scambio dei dati, la loro conservazione ed eventuali procedure relative alla gestione dei breach che potrebbero verificarsi.

Un’ipotesi da specificare riguarda, inoltre, l’eventuale furto o perdita del device: è fondamentale che il dipendente sia istruito sugli step da seguire, in ordine temporale ed organizzativo, per ridurre il più possibile gli esiti dei rischi relativi ai dati gestiti in BYOD; ciò potrebbe infatti ripercuotersi sui numeri della produzione, sul blocco della stessa, sino ad arrivare ad una alterazione tale da far nascere responsabilità a carico dell’azienda stessa.

Appare evidente come il tema del BYOD, proiettato nell’azienda e più che mai connesso all’ambito IoT, non possa che essere gestito a seguito di una attenta e minuziosa valutazione dei rischi, affidandosi ad una preventiva progettazione non solo della soluzione tecnologica, ma anche sul fronte degli impatti legali.

Da una parte il datore di lavoro, che non provveda in tal senso, avrà una responsabilità omissiva – non banale – in grado di generare danni diretti e indiretti rispetto alla filiera della produzione, senza contare le implicazioni rispetto allo Statuto dei Lavoratori. Dall’altra parte il dipendente mantiene comunque delle responsabilità di gestione dei dati, che sono anche più spiccate, che riguardano l’eventuale violazione dell’apposito regolamento aziendale che dovrà – dunque – essere ben compreso e attuato.

Riproduzione riservata ©

ALTRE NEWS

Fatture elettroniche negli appalti pubblici. Le proposte della Commissione Europea

Si inserisce nell’ambito del processo di digitalizzazione delle procedure degli appalti pubblici la proposta di direttiva avanzata dalla Commissione Europea per l’elaborazione di uno standard… Leggi Tutto

Il Vademecum aggiornato delle firme “elettroniche”

Prevedere una guida del genere a beneficio degli utenti non pare ad oggi anacronistico poiché le informazioni in materia non smettono mai di “riprodursi”, con… Leggi Tutto

Bankitalia: allungamento tempi di conservazione delle immagini

Bankitalia ha richiesto al Garante di poter allungare i tempi di conservazione delle immagini dell’impianto di videosorveglianza presso il proprio stabilimento di produzione, confezionamento e… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.