[IOT Device e GDPR] BYOD: cosa sono? Come possono essere utilizzati in azienda?

Sempre più spesso le aziende affiancano ai propri dispositivi aziendali i c.d. BYOD (“Bring Your Own Device”), ossia i dispositivi mobili (smartphone, tablet, pc) di proprietà del dipendente e che, in quanto tali, si prestano ad essere utilizzati sia per scopi personali che lavorativi.

L’utilizzo dei BYOD deve essere attentamente vagliato in ogni suo aspetto, perché potrebbero compromettere la sicurezza della rete e dei dati aziendali.

Allo stesso tempo, però, deve essere garantita anche la riservatezza della sfera personale del dipendente.

È doveroso, quindi, che l’azienda adotti idonee policy volte ad individuare gli ambiti di applicazione e i limiti di questi strumenti, adottando soluzioni atte a separare la sfera lavorativa da quella personale.

Vantaggi e rischi dei BYOD: quali aspetti valutare prima di utilizzarli

Prima di introdurre all’interno dell’organizzazione aziendale l’utilizzo dei BYOD, è necessario che venga svolta un’analisi per verificare la possibilità di segregare all’interno del dispositivo i dati relativi all’attività lavorativa rispetto a quelli relativi alla vita privata ed assicurandone la sicurezza.

L’utilizzo dei BYOD ha innegabili effetti positivi, quali: l’incremento della produttività (attraverso l’ottimizzazione dei tempi e l’aumento della flessibilità) e l’aumento del benessere e della comodità del lavoratore (che potrà utilizzare un solo dispositivo e non doverne potare con sé due).

Vanno, però, tenuti in considerazione anche gli effetti negativi dell’utilizzo dei dispositivi personali per lavoro: poiché ogni azione dell’azienda sui dispositivi personali è soggetta a autorizzazione del dipendente, si presenta la difficoltà e talvolta l’impossibilità per l’azienda di mantenere i sistemi operativi aggiornati, installare antivirus e aggiornarli e soprattutto evitare che il lavoratore assuma determinate condotte con l’utilizzo personale del proprio device che possano mettere a rischio la sicurezza informatica del device stesso.

Aumenta così molto il rischio di esposizione del device a cyberattacchi che possono essere trasmessi all’azienda e possono generare data breach di diversa gravità.

Per tale ragione, prima dell’introduzione dei BYOD, è consigliabile che l’azienda valuti:

  1. la compatibilità dei dispositivi con le funzioni lavorative, per esempio analizzando le funzioni di connettività con dei test preventivi;
  2. l’installazione di antivirus aggiornati e di software per il recupero dei dati aziendali;
  3. le impostazioni di sicurezza di accesso ai dati, richiedendo l’utilizzo di password sicure, l’autenticazione a due fattori o sistemi di cifratura;
  4. l’installazione un application control per controllare l’utilizzo di applicazioni che potrebbero essere inadatte all’uso su computer o reti aziendali, purché vi sia un bilanciamento tra la necessità di proteggere i dati aziendali e tutelare i diritti del lavoratore;
  5. il ricorso a software MDM (Mobile Device Management) che permettono la cancellazione da remoto di dati o del contenuto dell’intero dispositivo.

Poiché molto spesso chi utilizza dispositivi personali per attività lavorative non è pienamente consapevole degli effettivi rischi in cui si può incorrere da un uso improprio, l’azienda deve redigere policy d’uso dei device e di condotta informatica chiare e uniformi per tutto il personale, categorizzato per mansione, che siano coerenti con la realtà aziendale ed effettivamente comprensibili per coloro a cui si rivolgono.

Oltre a ciò, al fine di garantire un corretto utilizzo dei BYOD, in aggiunta ai regolamenti e alle policy, l’azienda dovrebbe promuovere l’istruzione e la sensibilizzazione dei propri dipendenti anche attraverso corsi di formazione mirati.

3 elementi necessari per la redazione della BYOD Policy

L’introduzione dei BYOD deve essere accompagnata da una policy che indichi con precisione:

1. le categorie di dispositivi che possono essere utilizzati e che possono essere diversi in base alle specifiche mansioni e alla qualifica del dipendente. Quindi, la necessità di utilizzare smartphone, pc o tablet personali deve essere vagliata caso per caso, svolgendo le valutazioni di cui al paragrafo precedente;

2. le modalità di utilizzo del BYOD, indicando precise linee guida a cui il lavoratore deve attenersi per non incorrere in violazioni, come:

    • utilizzare password per il login ed evitare che soggetti estranei possano venirne a conoscenza;
    • bloccare lo strumento in caso di allontanamento;custodire con attenzione il dispositivo, perché la sua perdita o la sottrazione costituisce “data breach”, e informare tempestivamente l’azienda in caso di smarrimento o furto;
    • qualora si utilizzino strumenti che memorizzano l’immagine, disporne la cancellazione a fine sessione o periodica;adottare particolari procedure in caso di dismissione del dispositivo, come l’utilizzo dei software MDM che permettono la cancellazione da remoto dei dati;

3. le misure e le procedure di sicurezza da adottare, introducendo una distinzione netta tra dati a carattere personale e dati lavorativi sia per evitare la raccolta e l’elaborazione eccedente di dati personali (nel rispetto del principio di minimizzazione) sia perché il controllo esercitabile dell’azienda è limitato.

A titolo esemplificativo, alcune delle misure adottabili sono:

    • evitare di salvare dati aziendali nel dispositivo;
    • vietare l’installazione o il download di software privi di licenza;
    • inibire le connessioni pier to pier non regolamentate e monitorate dall’ADS aziendale;
    • creare degli spazi distinti tra uso personale e utilizzo aziendale;
    • crittografare i supporti di memorizzazione stabilendo l’accesso solo a mezzo password;
    • utilizzare desktop virtuali che permettano l’accesso da remoto alla postazione aziendale;
    • utilizzare connessioni sicure, quali ad esempio le VPN;
    • utilizzare l’autenticazione a 2 fattori e, ove possibile, accedere con un account differente per l’utilizzo aziendale e quello privato.

Non solo BYOD: le possibili alternative

Qualora l’azienda ritenesse i BYOD non adatti e la loro gestione troppo rischiosa, è possibile valutare delle alternative altrettanto vantaggiose:

  1. CYOD (Choose Your Own Device): i dipendenti scelgono un dispositivo di proprietà dell’azienda da un piccolo pool di dispositivi da utilizzare per motivi di lavoro;
  2. COPE (Corporate-Owned; Personally-Enable): i dipendenti possono scegliere un device tra una rosa di dispositivi autorizzati per poterlo utilizzare sia per attività lavorative, sia per scopi personali. Poiché tale opzione consente all’azienda il pieno controllo del device di proprietà, in termini di manutenzione, sicurezza e operatività sarà opportuno porre particolare attenzione alla gestione dei dati personali del lavoratore e al rispetto della normativa sulla privacy e a quella giuslavoristica (con particolare riferimento al controllo del dipendente).
Veronica Zanibellato

Veronica Zanibellato

Nata a Padova, laureata presso l’Università degli Studi di Padova, è stata abilitata alla professione forense nel 2020. Legal specialist presso società bancarie e immobiliari, occupandosi della redazione e della revisione dei contratti ha contribuito alla redazione di modelli contrattuali semplificati, volti a garantirne la trasparenza e l’equilibrio tra le parti coinvolte secondo l’applicazione del legal design. Si occupa di diritto civile, diritto societario, diritto immobiliare e contrattualistica. Pratica tennis e nuoto, nel tempo libero ama fare escursioni o leggere un buon libro.