2a_GDPR non ti temo – Personale: come gestire il BYOD (PRO)

BYOD: due aspetti, due facce della medaglia


Nelle Aziende (anche piccole) è frequente che il personale utilizzi il proprio smarphone, tablet o pc portatili, come strumento di lavoro.
Questo tipo di accesso si chiamo BYOD – “Bring your own device”, letteralmente “porta il tuo dispositivo”.

L’accesso alle informazioni e alle applicazioni con questo sistema consente di migliorare la produttività e di accrescere la flessibilità, oltre ad avere un enorme impatto sull’economia aziendale, permettendo la diminuzione dei costi relativi all’acquisto di dispositivi aziendali e loro mantenimento.

Nelle aziende dove è utilizzata questa policy, il personale usa il proprio dispositivo personale per accedere a dati aziendali, visualizzare mail aziendali e per comunicare con colleghi, clienti, fornitori…


MA COME SONO PROTETTI

Nell’adozione del BYOD ci sono aspetti che però non possono essere sottovalutati, legati alla tutela dei dati personali, normata dal Reg UE 679/2016 – GDPR.
Gli aspetti fondamentali sono di due tipi:

  • dati personali del proprietario, che l’azienda non deve vedere
  • dati personali trattati dal roprietario per conto del Titolare (azienda) per cui lavora

In questa situazione il datore di lavoro dovrà applicare su dispositivi che non sono di sua proprietà (essendo di proprietà dei lavoratori) tutte le misure di sicurezza idonee a proteggere i dati in qualità di Titolare del Trattamento, affrontando un impegnativo ostacolo: dovrà contemporaneamente proteggere i dati aziendali (da altrui attacchi) e riservare i dati attinenti alla sfera personale del lavoratore a lui solo, onde evitare di dover affrontare il trattamento anche di questa categoria.

È bene precisare che il BYOD non si riferisce solo ai “dipendenti”, ma riguarda tutti quei soggetti che lavorano per conto dell’azienda, compresi i consulenti
Pertanto il Titolare, quando dovrà applicare sul dispositivo le misure di sicurezza dovrà tenere conto della privacy del lavoratore.

Il concetto è stato confermato dal Gruppo “Articolo 29” (WP29) il quale ha pubblicato l’Opinion 2/2017 “on data processing at work”, opinione che pone l’attenzione sul diritto alla privacy dei lavoratori.

Tra i vari rischi per la privacy ci sono ad esempio:

  • il monitoraggio della posizione e del traffico
  • il tempo passato sulle applicazioni
  • attività social e accesso a mail e indirizzi in rubrica
    in quanto potrebbero raccogliere anche i dati relativi alla vita privata, per questo il WP 29 raccomanda l’uso di tecnologie adeguate per evitare l’accesso a dati della sfera privata.

ANALISI DEI POTENZIALI PROBLEMI

Tra le minacce più importanti per l’utilizzo del BYOD vi sono:

  • L’utilizzo di App che raccolgono illegalmente dati personali per la profilazione commerciale (ad esempio geolocalizzazione o analisi di scambio di messaggi di testo)
  • La personalizzazione di dispositivi attraverso la modifica del sistema operativo per accedere ad alcune funzionalità normalmente bloccate (c.d. “Jailbreaking”), in tal modo i dispositivi risultano più vulnerabili
  • La maggior possibilità di attacchi hacker, che approfittano della vulnerabilità dei dispositivi mobili per accedere ai sistemi aziendali
  • La perdita o il furto del dispositivo
  • La manomissione di un dispositivo lasciato incustodito
  • L’utilizzo improprio del dispositivo, o la disattivazione delle misure di sicurezza
  • Ogni errore umano, anche solo l’ignorare un avviso di sicurezza

Ma le azienda, “titolari del trattamento”, hanno l’obbligo di garantire la conformità dei trattamenti effettuati, compresi quelli effettuati in BYOD.
Ne consegue che è necessario integrare nel processo di gestione del rischio anche tali strumenti e adeguare le misure di sicurezza così che siano pronte ad affrontare le minacce e i rischi conseguenti.


CORRERE AI RIPARI

Le PMI per poter garantire la sicurezza dei dispositivi mobili personali dovranno:

  • Rispettare il principio di privacy by design nell’uso del dispositivo, garantendo la conformità delle misure tecniche e organizzative adottate
  • Effettuare un’analisi rischi/vantaggi per l’uso del BYOD valutando tutte le funzionalità dei dispositivi e l’impatto sulla sicurezza delle infrastrutture IT
  • Adottare una policy che determini i limiti, le modalità d’uso e la dismissione dei medesimi
  • Eseguire la DPIA sulla sicurezza informatica dei dispositivi mobili (valutando se ad esempio esistono dispositivi più “deboli”)
  • Disporre un processo di gestione rischi documentato sull’uso sicuro dei dispositivi mobili
  • Adottare procedure per la gestione di eventuali data breach (più probabili per i furti/smarrimenti)
  • Investire nella formazione dei dipendenti per aumentare la consapevolezza dei rischi in relazione al BYOD

STRUMENTI UTILIZZABILI

Sul mercato esistono sistemi di Mobile Device Management (MDM) che hanno la capacità di gestire diversi dispositivi:

  • dalla configurazione alla distribuzione del software
  • l’applicazione delle policy
  • la gestione dell’inventario dispositivi
  • le impostazioni di sicurezza e dei servizi
  • fino alla cancellazione da remoto in caso di furto /smarrimento

Utilizzando questi sistemi ad esempio, i dati possono essere crittografati ed elaborati all’interno del software, per garantire che i dati aziendali siano separati dai dati del dipendente.
Un esempio è Samsung KNOX, ma anche Android nella nuova versione Enterprise permette la separazione dell’ambiente “personale” da quello “aziendale”.

CONCLUSIONI
Il BYOD, tenendo conto del rapporto costi/benefici, ha delle enormi potenzialità, ma contemporaneamente comporta grandi rischi.
È importante quindi tenere conto dei profili inerenti la privacy del lavoratore, evitando l’accesso alle informazioni sulla sfera privata di quest’ultimo, perché l’accesso a questi dati potrebbe comportare il sanzionamento secondo quanto previsto dal GDPR.