Oggi lo scenario aziendale è caratterizzato dall’utilizzo di tecnologia, più o meno avanzata, e di strumenti e dispositivi vari, adoperati quotidianamente dal personale aziendale per lo svolgimento dell’attività lavorativa.
Non vi è infatti impresa che possa ritenersi estranea ai profili legati all’uso, da parte dei propri dipendenti, di computer, dispositivi di memoria portatili, di telefonia e di connettività.
Non tutte le società però individuano e definiscono in modo chiaro quali siano gli strumenti da adoperare, per quali fini e con quali modalità, così sottovalutando i rischi e gli effetti pregiudizievoli derivanti da un utilizzo del dispositivo rimesso alla discrezionalità del singolo lavoratore che, pur operando in buona fede, potrebbe effettuare operazioni contrarie alle politiche aziendali da cui potrebbero nascere conseguenze anche sul piano patrimoniale.
Così, in mancanza di diverse indicazioni, il dipendente assegnatario di uno strumento aziendale potrebbe decidere di adoperarlo anche per fini personali e, proprio l’assenza di una regolamentazione sul punto, potrebbe generare una legittima aspettativa di riservatezza e confidenzialità sui dati e sulle informazioni personali gestite attraverso i dispositivi assegnati dall’impresa.
Peraltro, nel caso in cui la società intendesse vietare l’uso per fini personali degli strumenti aziendali dovrebbe precisarlo nella policy adottata, indicando però, contestualmente, le ipotesi in cui potrebbe venire a conoscenza dei dati e delle informazioni personali, nel caso presenti sui dispositivi (si pensi ad esempio alle attività di manutenzione e assistenza sui pc o cellulari aziendali).
Tale aspetto è stato evidenziato anche dal Garante privacy in un provvedimento con cui l’Autorità ha vietato il trattamento di dati personali del dipendente, che una società aveva ricavato da file e documenti acquisiti nell’ambito di operazioni di backup, proprio in considerazione del fatto che nel regolamento era presente un riferimento all’obbligo di utilizzare gli strumenti elettronici affidati ai lavoratori per esclusive finalità professionali, ma non veniva riportata alcuna indicazione circa la possibilità, per la società, di acquisire e conservare dati personali dei dipendenti anche per effetto di copie di backup, né sull’eventualità di trattare tali dati in vista di possibili controlli (anche occasionali) (si veda: Provv. Garante privacy del 7 aprile 2011).
La necessità di adottare misure di carattere informativo è fondamentale, non solo rispetto agli strumenti aziendali, ma anche in ordine ai dispositivi personali del dipendente.
Se infatti nulla viene detto in merito, il lavoratore potrebbe sentirsi legittimato ad adoperare il proprio smartphone o tablet anche per finalità professionali, con le possibili conseguenze in termini di sicurezza da ciò derivanti.
Viceversa, la scelta dell’impresa di vietare o concedere al dipendente la possibilità di adoperare i dispositivi personali anche per fini lavorativi (BYOD) dovrà essere esposta chiaramente nella policy adottata, proprio per evitare incertezze e consentire alla società di non perdere il controllo sui dati e sulle informazioni aziendali trattate dal dipendente attraverso i vari strumenti a sua disposizione.
Pubblicato su www.byod.it