Due acronimi BYOD e GDPR che potrebbero a tutta prima apparire un innocuo binomio, anzi un modo per le aziende per sgravarsi di una parte dei costi, legati all’acquisto di beni strumentali, facendo usare ai dipendenti i propri, appunto Bring Your Own Device. Ma queste scelte sono in linea con i dettami del GDPR?
Misure tecnico organizzative, costo zero?
Fare usare un device personale a un dipendente, esime l’azienda dall’essere responsabile relativamente a quel che gli accade? In ottica di accountability no. I dati sono comunque responsabilità del Titolare. Quindi come fare?
Quali regole seguire
Non esiste certamente una norma universale, ma possiamo applicare come sempre il buonsenso:
- MDM. Altro acronimo che sta per Mobile Device Management, un software in grado di “gestire” il device, bloccando alcune funzionalità, gestendone una sorta di separazione interna (utile specialmente in ambiente Android);
- Policy Aziendale. La sua utilità è quella di chiarire in modo inequivocabile i comportamenti virtuosi nell’uso del proprio dispositivo e gli “obblighi” cui i proprietari dei dispositivi sono sottoposti (come fare il backup? Dove farlo? Quale antivirus usare? Quali sistemi di blocco del dispositivo? Quali app installare?);
- Applicazioni. Quali app sono installate sul device? Quali garanzie sulla privacy ci danno? In tal senso molto utile può essere il documento dell’ENISA che racconta quali possono essere le problematiche connesse all’universo app in relazione alle tematiche GDPR.
Problematiche emergenti lato dipendente
L’uso di un MDM sicuramente costituisce un’invasione dello spazio dell’individuo. Un dipendente potrebbe vivere come una violazione della propria sfera privata il fatto che qualcuno gli dica come gestire il proprio cellulare, tablet o portatile, o addirittura che gli imponga certe norme di utilizzo che altrimenti avrebbe scelto di ignorare.
Problematiche lato aziendale
Se l’imprenditore pensava di risparmiare, dovrà fare i conti con la corposa serie di obblighi cui sarà tenuto per sorvegliare, ad esempio, che il dipendente non faccia copie non autorizzate di dati sul PC di casa, magari senza antivirus, sul quale il figlio gioca online. O strutturarsi per gestire una rigida segregazione dei dati aziendali su questi dispositivi.
Il Garante dixit…
In uno dei suoi vademecum (quello sulla Biometria del 2014), il Garante aveva esposto con dovizia di particolari i compiti anche critici connessi all’utilizzo di dispositivi BYOD in azienda.
Nel caso di adozione di sistemi biometrici in contesti mobile o BYOD è opportuno lo svolgimento di attività di audit periodiche e l’adozione di strumenti per accrescere la sicurezza dei dispositivi mobili come i sistemi software per Mobile Device Management (MDM) o Mobile Device Auditing (MDA).
In conclusione
Sicuramente si tratta di un problema che è attualmente sottostimato nella sua portata sia tecnica, che economica che organizzativa, troppo spesso i ragionamenti tendono a una semplificazione che non serve alle imprese. Risparmiare sull’acquisto di un device potrebbe rivelarsi antieconomico.