BYOD: le best practices per conciliare la riservatezza dei dati aziendali e dei dati personali del dipendente
Il termine BYOD, acronimo dell’espressione inglese “Bring your own device” fa riferimento alla possibilità di utilizzare per scopi lavorativi il proprio personal device. Difatti, se è vero che il datore di lavoro deve dotare il lavoratore degli strumenti necessari per lo svolgimento della attività lavorativa, è anche vero che può autorizzare l’utilizzo di strumenti elettronici personali del lavoratore per lo svolgimento dell’attività lavorativa.
La filosofia del BYOD pone, dunque, il necessario bilanciamento tra la tutela della riservatezza e della integrità delle informazioni aziendali che vengono archiviate sul device personale e la tutela della privacy del lavoratore stesso che ben potrebbe su quello stesso device aver archiviato informazioni inerenti alla sua vita privata.
Il CNIL, Garante francese, ha recentemente fornito a tale proposito una breve linea guida allo scopo di arginare i rischi che potrebbero compromettere l’integrità, la riservatezza e la disponibilità dei dati aziendali.
Il consiglio è quello di individuare i rischi e stimarli in termini di gravità e probabilità; successivamente si potranno individuare le misure più adatte per la tutela dei dati aziendali e formalizzarle in una policy sulla sicurezza dei dati. Si elencano alcuni esempi riportati dal CNIL, che costituiscono utili misure di protezione dei dati aziendali:
- lo spazio di archiviazione dei dati professionali può essere tenuto distinto da quello relativo ai dati personali;
- ove possibile controllare l’accesso remoto tramite un dispositivo di autenticazione dell’utente (ad es. certificato elettronico, una smart card, ecc. );
- utilizzare soluzioni di crittografia per la trasmissione dei flussi di informazioni;
- adottare una specifica procedura in caso di guasto / perdita del device personale;
- utilizzo delle misure di sicurezza di base come impostazione di una password complessa per accesso al dispositivo e aggiornamento costante del sistema operativo e dell’antivirus.
Sarebbe inoltre opportuno sensibilizzare i lavoratori sui rischi relativi alla sicurezza dei dati aziendali, specificando le precauzioni da prendere e le responsabilità per le loro violazioni.