BYOD e protezione dei dati personali
La gestione dei devices personali e la protezione dei dati in essi contenuti
di Federica Boccucci
Oggi, nelle realtà aziendali – specialmente di piccole dimensioni – non è infrequente che i dipendenti utilizzino dispositivi personali, quali smarphone, tablet e pc portatili, come strumenti a supporto dell’organizzazione interna, o come veri e propri strumento di lavoro. L’accesso alle informazioni e alle applicazioni aziendali da dispositivi mobili consente di migliorare la produttività dei dipendenti e di accrescere l’agilità e la flessibilità delle aziende. Inoltre, permette di avere un enorme impatto sulla contabilità aziendale; uno sgravio dei costi diretti relativi all’acquisto e fornitura di devices aziendali e all’aggiornamento costante delle infrastrutture IT.
È proprio a tale politica aziendale che si riferisce l’espressione “Bring your own device”, anche conosciuta con l’acronimo “BYOD” (letteralmente “porta il tuo dispositivo”). Nelle società dove è in vigore tale policy, il personale dipendente usa i propri dispositivi personali per accedere a dati aziendali, visualizzare mail aziendali e per comunicare con colleghi, clienti o fornitori.
Nell’utilizzo del BYOD ci sono tuttavia aspetti che non possono essere sottovalutati, come la tutela dei dati personali in essi contenuti, che senza le dovute cautele, generano una serie di rischi per l’azienda, quale ad esempio quelle di incorrere nelle responsabilità (e dunque nelle sanzioni) indicate nel Regolamento Europeo 679/ 2016 in materia di protezione dei dati personali.
Tra le minacce più rilevanti presenti ad oggi nell’ambito della sicurezza informatica applicata all’utilizzo del BYOD vi sono:
- L’utilizzo di App che raccolgono ed elaborano illegalmente dati personali attraverso la geolocalizzazione degli utenti o l’analisi di scambio di messaggi di testo per la profilazione commerciale.
- La personalizzazione di dispositivi attraverso la modifica del sistema operativo per accedere ad alcune funzionalità normalmente bloccate. Il “Jailbreaking” è, ad esempio, una tra le procedure più popolari che si possono eseguire sui dispositivi mobili per rimuovere le restrizioni imposte dalla casa produttrice (ad esempio installazione delle app da stores non ufficiali), ma in tal modo i devices risultano più vulnerabili.
- La maggior propensione ad attacchi hacker, esterni o interni all’azienda, che approfittano della vulnerabilità dei dispositivi mobili per sottrarre i dati personali.
- La perdita o il furto accidentale del dispositivo mobile personale in situazioni extra-lavorative.
- La manomissione da parte di terzi di un dispositivo lasciato incustodito.
- L’utilizzo improprio del dispositivo, ad esempio attraverso la disattivazione delle dovute misure di sicurezza, quale ad esempio il firewall aziendale.
- Errore umano che può rappresentarsi nell’ignorare un avviso di sicurezza fornito da un device.
Le società, in qualità di “titolari del trattamento”, secondo quanto disposto dal GDPR, hanno l’obbligo[1]di garantire la conformità dei trattamenti effettuati, tra i quali rientrano anche quelli effettuati su BYOD. Pertanto per assicurare un adeguato livello di sicurezza nell’utilizzo dei dispositivi mobili personali per motivi di lavoro, occorre implementare sia il processo di gestione del rischio di tali strumenti sia le misure di sicurezza necessarie ad affrontare le minacce e i rischi individuati.
In via generale, il Garante Europeo della protezione dei dati – EDPS, al fine di fornire consigli e istruzioni in materia di “dati personali e mobile devices” ha pubblicato nel 2015 delle linee guida[2]che, seppur destinate alle istituzioni e agli organi dell’Unione Europea, si sono rivelate utili per definire le policies di utilizzo del BYOD all’interno delle realtà aziendali. Le raccomandazioni previste dal legislatore europeo sono state riprese e assimilate dal nuovo Regolamento Europeo n. 679/2016[3].
Dunque, le PMI per poter garantire la sicurezza dei propri dispositivi mobili personali e assicurare la tutela dei dati personali degli interessati in essi contenuti[4]devono necessariamente:
- Rispettare il principio di privacy by design nell’uso del dispositivo mobile personale, garantendo la conformità delle misure tecniche e organizzative adottate al Regolamento Europeo.
- Effettuare un’analisi dei vantaggi nell’utilizzare il BYOD e valutarne sia i rischi sia l’invasività; tenendo in considerazione tutte le funzionalità dei dispositivi e l’impatto che i medesimi possano avere sulla sicurezza delle infrastrutture IT presenti.
- Adottare policies di utilizzo del BYOD determinando limiti, modalità d’uso e dismissione dei medesimi.
- Eseguire una DPIA per garantire la sicurezza informatica dei dispositivi mobili.
- Disporre un processo di gestione dei rischi adeguatamente documentato contenente le misure tecniche e organizzative adottate per salvaguardare l’uso sicuro dei dispositivi mobili.
- Adottare procedure interne per la gestione di eventuali data breach.
In ragione degli adempimenti necessari per poter affrontare le minacce e mitigare i rischi in primis, sarà necessario investire nella formazione dei dipendenti al fine di aumentare la comprensione e la consapevolezza dei rischi della protezione dei dati in relazione all’utilizzo del BYOD. Tra i soggetti destinatari di tale attività il Gruppo di lavoro Art. 29 nel parere n. 3/2010[5]ha individuato gli incaricati del trattamento dei dati personali, ovvero gli attuali “autorizzati”, ma anche dirigenti, sviluppatori in campo informatico e direttori di unità commerciali. Inoltre, l’art. 29 del sopra citato Regolamento chiarisce che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare …”. Dunque, la formazione risulta essere un requisito essenziale per potere prevenire i rischi generali e specifici dei trattamenti di dati, conoscere le misure organizzative, tecniche ed informatiche adottate, nonché impedire l’insorgenza di responsabilità e sanzioni.
Altresì, per garantire la sicurezza e la protezione dei dati, occorrerà adottare soluzioni specifiche per la “gestione dei dispositivi mobili”. Sul mercato esistono sistemi di Mobile device management (MDM) che hanno la capacità di gestire l’intero ciclo di vita della configurazione dei dispositivi amministrati attraverso la distribuzione del software, applicazione di policy, gestione dell’inventario, delle impostazioni di sicurezza e dei servizi.[6]Pertanto, utilizzando un sistema MDM i dati aziendali, inclusi dati personali di colleghi, clienti e fornitori, vengono crittografati ed elaborati all’interno del software. Ciò garantisce che i dati aziendali siano separati dai dati del dipendente sul dispositivo e che si possano utilizzare in sicurezza posta elettronica, browser, app e documenti.[7]
[1]Art. 24, Sez. 1. GDPR
[2]European Data Protecton Supervisor, Guidelines on the protection of personal data in mobile devices used by European institutions, December 2015.
[3]Art. 32, sez. 2 GDPR; art 35, sez. 3 GDPR
[4]I dati aziendali contengono molti dati personali di clienti fornitori e dipendenti e i medesimi devono essere distinti dai dati personali del singolodipendente.
[5]Gruppo di lavoro Art. 29, Parere 3/2010 sul principio di responsabilità
[6]http://www.gartner.com/it-glossary/mobile-device-management-mdm
[7]https://en.wikipedia.org/wiki/Mobile_device_management
Autore: