y DELLE 30 www.corrierecomunicazioni.it [email protected] n°15. 30 settembre 2013 IN AZIENDA Byod, problema o opportunità? Massimiliano Pappalardo* I rischi connessi all’uso promiscuo di dispositivi elettronici in ambito lavorativo erano già stati a suo tempo segnalati dal Garante per la Privacy con il provvedimento in data 1 marzo 2007, con cui veniva regolato l’utilizzo di posta elettronica ed Internet nel rapporto di lavoro. Ma non appena regolato un fenomeno, la tecnologia è già oltre e pone nuove sfide. Il problema ora non è più soltanto l’utilizzo di dispositivi aziendali per un uso privato, ma il suo opposto: l’utilizzo di dispositivi elettronici personali per lo svolgimento di attività lavorative. Il nuovo problema o, se si vuole, la nuova opportunità è il “Byod”: “Bring Your Own Device”. Secondo Gartner, entro il 2017 il 38% delle imprese potrebbe interrompere la fornitura di dispositivi aziendali, introducendo programmi di Bring Your Own Device. Se solo pochi anni fa, i dispositivi elettronici ad uso privato non potevano competere, in termini di velocità ed efficienza, con le tecnologie aziendali, lo scenario è ora mutato; sempre più spesso, personal computer, tablet e smartphone di ultima generazione, destinati al mercato dei consumatori, sono persino più performanti di quelli dati in dotazione dall’azienda. Già ora, in molte realtà aziendali, lo svolgimento di attività lavorative attraverso il computer di casa o lo smartphone personale, magari al di fuori y L’uso di device personali per attività lavorative è in espansione: servono policy aziendali a protezione dei dati Se determinate misure di sicurezza sono imposte dalla legge o ritenute indispensabili dall’azienda a garanzia del corretto trattamento di determinati dati è chiaro che le stesse misure dovranno essere applicate anche per il caso di utilizzo di dispositivi personali. Riflessione doverosa anche alla luce del recente decreto legge 93/2013: il provvedimento estende all’illecito trattamento di dati personali le sanzioni, anche molto onerose, previste a carico dell’azienda dalla legge 231/2001. Ove tale previsione venisse confermata in sede di conversione, nella predisposizione del modello organizzativo aziendale il trattamento di dati aziendali attraverso dispositivi personali dei dipendenti dovrà essere una delle problematiche da presidiare. In un contesto, in cui si è ormai sempre connessi, al lavoro così come nel tempo libero, prima si iniziano a porre regole certe, meno ci si dovrà adoperare in seguito per scardinare cattive abitudini p ormai calcificate. * Cofondatore e Partner dello Studio Legale d&p Legal support for ideas Scuola, monito del Garante stop info personali online I l controllo sull’attività della pubblica amministrazione non deve finire per ledere la dignità delle persone. Il bisogno della trasparenza deve essere coniugato con l’esigenza di tutelare la privacy dei cittadini. È questo il messaggio implicito che il Garante Privacy manda a tutte le amministrazioni pubbliche. L’affermarsi dell’Open Data e le nuove politiche volte alla trasparenza fanno sì che una sempre crescente quantità di dati venga pubblicata e resa disponibile su Internet. Spesso, però, atti e documenti contengono dati personali eccedenti le finalità della pubblicazione o comunque in contrasto con i principi stabiliti dalla normativa sulla protezione dei dati personali. Per questo motivo il Garante ha sentito la necessità di ricordare alle pubbliche amministrazioni alcuni principi fondamentali in materia di corretto bilanciamento tra trasparenza e privacy. A partire dal mondo della scuola. Il Garante è intervenuto più volte contro illeciti compiuti nella pubblicazione online di graduatorie di vario tipo, le quali spesso contengono dati personali non pertinenti o eccedenti le finalità istituzionali perseguite. Alcuni Comuni, ad esempio, hanno pubblicato online le graduatorie di chi ha diritto ad usufruire del servizio di scuolabus includendo tra le varie informazioni liberamente accessibili, non solo i dati identificativi dei bambini, ma anche l’indirizzo di residenza e il luogo preciso dove lo scuolabus li avrebbe fatti salire e scendere. La diffusione di questi dati, oltre a comportare una violazione della normativa, può rendere i minori facile preda di malintenzionati. Un altro caso frequente riguarda la pubblicazione sui siti Internet degli istituti delle graduatorie di docenti e personale amministrativo tecnico e ausiliario (Ata) per consentire a chi ambisce a incarichi e supplenze di conoscere la propria posizione e punteggio. Tali liste, giustamente accessibili a tutti, non devono però contenere, come in diversi casi segnalati al Garante, i numeri di telefono e gli indirizzi privati dei candidati. Questa illecita diffusione dei contatti personali incrementa, tra l’altro, il rischio di esporre i lavoratori a forme di stalking o a possibili furti di identità. Illecita anche la pubblicazione sul sito web scolastico del nome e del cognome degli studenti i cui genitori sono in ritardo nel pagamento della retta o del servizio mensa. Lo stesso vale per gli studenti che usufruiscono gratuitamente del servizio in quanto appartenenti a famiglie con reddito minimo o a fasce deboli. Gli avvisi messi online – ha ricordato il Garante - devono avere carattere generale, mentre alle singole persone ci si può rivolgere con comunicazioni di carattere individuale. Su tutto il “pianeta scuola” l’Autorità ha annunciato l’emanazione di specifiche Linee guida in materia allo scopo di assicurare ad insegnati, famiglie e studenti un quadro organico in materia di protezione dei dati personali anche alla luce dei nuovi scenari p aperti dalla Rete. www.corrierecomunicazioni.it DELLE dell’orario lavorativo, è di fatto tollerato, talvolta consentito e, in alcuni casi, persino incoraggiato. Di rado regolato. Ciò espone il datore di lavoro a evidenti rischi: non solo il rischio di rivendicazioni giuslavoristiche del dipendente connesse allo svolgimento di straordinari non retribuiti, ma soprattutto il rischio di un trattamento di informazioni aziendali sottratto da ogni controllo datoriale. Informazioni che vengono processate dal dipendente e, poi, magari giacciono per anni su dispositivi di cui l’azienda ignora persino l’esistenza. Il datore di lavoro, quindi, per un verso, è esposto al rischio di accessi non autorizzati ad informazioni strategiche per l’azienda (come potrebbero essere tecnologie coperte da segreto industriale o, più semplicemente, liste e contatti di clienti e fornitori); per altro verso, è esposto a possibili sanzioni per un trattamento di dati personali di terzi in violazione degli obblighi di legge. Fingere di ignorare il fenomeno, alla lunga, non paga ed il conto potrebbe essere molto salato. Si rendono, quindi, assolutamente necessarie chiare politiche aziendali: vietare l’uso di dispositivi personali o autorizzarli, vincolandone però l’impiego al rispetto di rigorose regole. L’adozione di adeguate misure di sicurezza, la previsione di tempi e modi di utilizzo per finalità lavorative, la crittazione dei dati aziendali, la loro cancellazione dopo l’utilizzo e la formattazione dei supporti per il caso di cessione a terzi del dispositivo sono solo alcuni degli aspetti che un’adeguata policy interna dovrebbe disciplinare. PRIVACY QUINDICINALE Federica Meta DIRETTORE RESPONSABILE [email protected] +39.0668412225 [email protected] +39.066841221 [email protected] +39.0668412224 Gildo Campesato CAPOREDATTORE Mila Fiordalisi Paolo Anastasio Luciana Maci [email protected] +39.0668412229 [email protected] +39.0668412223 ART DIRECTOR CAPOSERVIZIO [email protected] +39.0668412221 Roberta Chiti [email protected] +39.0668412222 Luca Migliorati COLLABORATORI Dario Banfi, Matteo Buffolo, Antonio Dini Luigi Ferro, Roberto Giovannini Giovanni Iozzia, Patrizia Licata Alessandro Longo, Francesco Molica Antonello Salerno, Piero Todorovich Maurizio Riccardi (fotografo) CONTRIBUTORS Pierciro Galeone, Andrea Granelli Piero Laporta, Enrico Menduni Cristoforo Morandini, Augusto Preta Claudio Rorato SEGRETERIA DI REDAZIONE [email protected] [email protected] +39.066841221 ABBONAMENTI +39.066841221 [email protected] PUBBLICITÀ [email protected] EDITORE: CORPO 10 SOC. COOP. a r.l. Largo di Torre Argentina, 11 - 00186 Roma tel. +39. 066841221 fax +39. 0668804132 P.Iva C.F. 08650251005 STAMPA: Centro Servizi Editoriali srl Via del lavoro,18 36040 Grisignano di Zocco (VI) Registrazione Trib. di Roma n.188/2005 del 12/5/2005. Arretrati 6,00 euro. Abbonamento annuo 60,00 euro (22 numeri) Estero 120,00 euro