Volenti o nolenti, indipendentemente dall’attività che svolgiamo smartphone (e talvolta anche tablet e altri wearable) fanno parte dei nostri strumenti di lavoro. Questi dispositivi rappresentano un punto critico per la gestione dei Dati e dei Dati Personali da parte delle Aziende.
Allo stato attuale gli esperti in EMM (Enterprise Mobile Management) hanno definito le seguenti 4 possibili configurazioni per la gestione dei dispositivi:
Se ti interessa capire meglio questi modelli ed il loro funzionamento ti consiglio di seguire questi thread:
- https://www.wired.com/brandlab/2018/06/byod-cyod-cope-cobo-really-mean/
-
Device Management: BYOD, COPE, COBO, and CYOD
Al di la’ comunque di esotici acronimi (che servono solo fino ad un certo punto) un Titolare deve porre l’attenzione su quali dati vengono trattati e da chi. Il concetto chiave qui è che, praticamente senza alcuna esclusione, per ogni dispositivo ci sarà un flusso di dati personali del dipendente dal dispositivo all’ Azienda e un flusso di dati aziendali dai server aziendali ai dispositivi dei dipendenti.
Un Datore di Lavoro, e in realtà qualsiasi Titolare del Trattamento, per trattare legittimamente dati personali (se vuoi leggi https://www.theinfosecvault.com/2023/12/12/comprendere-il-concetto-di-dati-personali/ per capire cosa sono i dati personali) deve avere una base legale. La liceità del trattamento nel caso di un rapporto di lavoro è dettata dall’art.6.1.b del GDPR:
[…]
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; […]
Tuttavia, come ben sappiamo, il Titolare un po’ di verifiche le deve fare (https://www.theinfosecvault.com/2023/01/07/sai-davvero-cosa-deve-fare-il-titolare-del-trattamento-per-rispettare-il-gdpr/), in sintesi e’ fondamentale che per tutti i dati personali che vengono trattati (compresi quindi quelli dei dipendenti):
- Vi sia consapevolezza del Trattamento
- Il trattamento sia tracciato e documentato nel registro (https://www.theinfosecvault.com/2022/10/10/il-registro-del-trattamento/)
Se, in generale i dati di un dipendente che vengono trattati da un’Azienda (che, lo ricordiamo sono normati dal’art. 88 del GDPR) possono essere, in linea di massima, sintetizzati come da questa tabella:
Particolare attenzione deve essere posta al fatto che, indipendentemente dalla soluzione di gestione scelta (fra le 4 sintetizzate sopra) e a seconda dell’approccio MDM (Mobile Device Management) o MAM (Mobile Application Managemnt) adottato, l’utilizzo di dispositivi smart da parte dei dipendenti può aggiungere categorie particolari di dati a quelli inizialmente previsti dall'Azienda. Importante quindi notare che anche nel caso BYOD, qualora il datore di lavoro venisse a conoscenza di dati personali di un dipendente (anche se questi dati fossero parte di altre applicazioni preinstallate sul telefono del dipendente) il Datore di Lavoro sarebbe persona informata anche per tali dati. In altri termini non e’ legittimo “ignorare” i dati persoanli di cui si viene a conoscenza.
Ricapitolando e semplificando, l’Azienda dovrà:
- Per i dati Aziendali che i dipendenti/collaboratori possono vedere sui loro smartphone, collaboratori e dipendenti devono essere formati come incaricati al trattamento (qui trovi un corso ([4h ITA] Corso per Incaricato al Trattamento (art. 29 GDPR)) gratuito, per accedere: https://www.theinfosecvault.com/learn/)
- Per i dati personali che dagli smartphone dei dipendenti vengono inviati all’Azienda (a meno di blindatissime soluzioni COBO) l’Azienda dovrà documentare tali dati nel Registro e proteggerli nel rispetto della PbDD (privacy by default e by design).