Sempre più spesso i dipendenti utilizzano i loro dispositivi personali BYOD , acronimo di “bring your own device” ovvero “utilizza il tuo dispositivo”, per rendere la prestazione lavorativa e capita anche che sia il datore di lavoro ad avere la necessità che il lavoratore svolga da casa il lavoro o un particolare lavoro.

I problemi di corretto trattamento dei dati sono evidenti, atteso che da una parte il datore di lavoro deve poter controllare i dati e la loro sicurezza sul dispositivo personale del lavoratore, dall’altro il lavoratore ha diritto a che ciò avvenga senza intromissioni nei propri dati personali, pure presenti sul device.

Occorre allora che questo utilizzo promiscuo avvenga in modo rispettoso dei principi del GDPR e perché ciò accada e sia ovviamente anche verificabile, in base ai noti principi di responsabilizzazione nella gestione della privacy, il datore di lavoro, titolare del trattamento deve operare un vero e proprio assessment, sulla base dei seguenti criteri:
1) gli strumenti di lavoro devono essere scelti e forniti dal datore di lavoro
2) non possono esser usati strumenti personali se non autorizzati dal datore di lavoro
3) il datore di lavoro deve avere il controllo dei dati aziendali trasferiti sui BYOD
4) il datore di lavoro deve dare al dipendente le direttive per l’utilizzo sia degli asset che degli applicativi (es. messaggistica)
5) il datore di lavoro deve dare le istruzioni per la conservazione dei dati sui dispositivi
Il datore di lavoro deve individuare le misure tecniche per la conservazione separata dei dati aziendali rispetto a quelli personali
6) il datore di lavoro deve dare istruzioni affinché i dati aziendali non siano accessibili a soggetti extra lavorativi ( famigliari, amici )
7) il datore di lavoro deve dare istruzioni al dipendente per i casi di spossessamento momentaneo o definitivo del device
8) se si attua un controllo a distanza , occorre rispettare lo Statuto dei lavoratori.

 

E dal lato del dipendente??

Anche per lui, alcune inderogabili prescrizioni, la cui violazione lo esporrà a responsabilità civile e disciplinare nei confronti dell’Azienda:
1) non utilizzare dispositivi personali se non previamente autorizzato
2) attenersi alle direttive ed istruzioni del datore di lavoro
3) impedire l’accesso ai dati aziendali da parte di terzi ( famigliari amici etc)
4) non memorizzare i dati aziendali in spazi o luoghi diversi da quelli indicati dal datore
5) avvisare il datore di lavoro in caso di interventi di manutenzione ovvero di dismissione definitiva del dispositivo ed attenersi alle prescrizioni che gli verranno impartite

Le indicazioni che abbiamo riportato devono trovare adeguato riscontro nella gestione della privacy aziendale naturalmente ed essere inserite / revisionate all’interno della documentazione da predisporre sia quale informativa, sia quale autorizzazione al trattamento, oltre che nel regolamento aziendale per l’utilizzo degli strumenti di lavoro.