Privacy e BYOD: le linee guida del Garante EU

Home > Punto Di Vista > Privacy e BYOD: le linee guida del Garante EU

L’uso massiccio dei dispositivi mobili sta investendo la nuova era digitale aziendale ed è dovuto alla convenienza, oltre che alla maggiore funzionalità, che gli stessi offrono in aggiunta alle già presenti risorse IT aziendali. Tuttavia il loro utilizzo comporta, inevitabilmente, rischi di protezione dei dati dovuti all’uso in azienda di dispositivi nati per essere adoperati dai semplici consumatori, quindi tra privati, e non a livello professionale.  

 

Dispositivi mobili: il Garante Europeo punta su regole chiare

 

Data la crescita esponenziale nell’uso del BYOD e la parallela crescita dei rischi privacy, il 17 dicembre 2015, il Garante Europeo della protezione dei dati (EDPS) ha pubblicato una serie di linee guida per le istituzioni e gli organi dell'UE su tale tema. Lo scopo è quello di fornire consigli pratici ed istruzioni sul tema dati personali e sull'utilizzo di dispositivi mobili per motivi di lavoro, al fine di garantirne la conformità rispetto al Regolamento (CE) n. 45/2001, del 18 dicembre 2000, del Parlamento Europeo e del Consiglio, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.

 

Le linee guida, pur rivolgendosi alle istituzioni EU, possono applicarsi con significativi benefici a qualsiasi organizzazione, anche privata, interessata all’uso dei BYOD nella propria realtà senza dover rinunciare alla protezione dei dati in linea con i principi privacy europei. Il Regolamento sopra indicato è infatti simile, per molti aspetti, alla Direttiva 95/46/CE del Parlamento Europeo e del Consiglio (datata 24 ottobre 1995), relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ancora in vigore.

 

Le linee guida sono strutturate come segue:

  • la Sezione III presenta l'elenco di raccomandazioni che specificano quale contenuto una policy sui dispositivi mobili dovrebbe avere.
  • la Sezione IV elenca alcune misure di sicurezza basate sulle migliori pratiche che le istituzioni possono utilizzare per affrontare i rischi connessi con i dispositivi mobili.
  • la Sezione V discute più dettagliatamente le varie questioni giuridiche circa l'uso di dispositivi mobili definiti.
  • la Sezione VI descrive alcuni dei rischi per i dati personali trattati da dispositivi mobili.

 

Focus sulla Privacy

 

Vediamo di seguito cosa raccomanda il Garante Europeo della privacy nelle linee guida in argomento. Nello specifico precisa che le istituzioni dell'UE devono:

  • Soppesare i vantaggi di utilizzare questi nuovi dispositivi mobili per ogni operazione specifica e prendere in considerazione, caso per caso, tutti i rischi e le invasività che il loro uso può comportare. Tale valutazione deve considerare tutte le funzionalità e le caratteristiche dei dispositivi e l’impatto della loro introduzione sulla sicurezza delle infrastrutture IT già presenti.
  • Applicare il principio di responsabilità che è di fondamentale importanza nel contesto dell'uso dei dispositivi mobili. La complessità deve essere chiaramente definita in modo specifico per ogni singolo soggetto coinvolto e secondo gli svariati casi d'uso possibili.
  • Individuare e successivamente mantenere una politica relativa ai limiti e le modalità di utilizzo anche in funzione di una responsabilizzazione e guida dei comportamenti tenuti dai lavoratori. Lo scopo della policy è quello di chiarire i diritti e gli obblighi delle istituzioni dell'Unione europea, e del loro personale, quando i dispositivi privati sono utilizzati per scopi di lavoro.
  • Adottare procedure scritte per la gestione del ciclo di vita dei dispositivi mobili, siano essi di proprietà delle istituzioni dell'UE o dei privati. Tali procedure devono essere usate per controllare correttamente i dispositivi mobili e devono tener conto di tutte le operazioni che devono essere eseguite su essi.
  • Impostare i dispositivi in maniera tale che venga evitata la raccolta e l’elaborazione di dati personali in eccesso, in applicazione del principio di minimizzazione dei dati.
  • Nell’adottare le misure di sicurezza da applicare ai singoli dispositivi, adottare i principi di privacy by design del nuovo Regolamento Europeo sulla Privacy.
  • Adottare procedure interne per la gestione delle violazioni dei dati.

 

La sicurezza, premessa irrinunciabile

 

Ripetita iuvant, la sicurezza è uno dei principali fattori abilitanti della protezione dei dati. Per garantire un adeguato livello di protezione, secondo il Garante Europeo della privacy, le Istituzioni UE devono implementare un processo di gestione del rischio ed implementare misure idonee ad affrontarli.
 

Tali misure di sicurezza devono essere:  

  • organizzative, come ad esempio l'adozione di politiche di sicurezza, un adeguato piano di formazione per il personale, etc.
  • tecniche, come le soluzioni Mobile Device Management (MDM), prevedendo per esempio idoneo PIN, o anche il backup, il blocco a distanza del device, l’antivirus, la crittografia, etc.

 

L’informativa

 

L’utilizzo dei device sul luogo di lavoro comporta il trattamento dei dati personali nello stesso riportati che, naturalmente, deve essere ben specificato in apposita informativa. Tale informativa deve essere rilasciata dal datore di lavoro ad ogni singolo dipendente che usa il device in qualità di interessato e nella stessa devono essere chiaramente riportate le seguenti informazioni:  

  • chi è il titolare dei dati trattati e quali sono i dati trattati;
  • quali sono i dati personali che l'utente può raccogliere ed elaborare tramite il dispositivo;
  • quali applicazioni sono autorizzate e possono essere scaricate sul dispositivo;
  • qual è la politica per quanto riguarda l'uso dei servizi cloud;
  • qual è la politica relativa alla dismissione del dispositivo ed allo smaltimento dello stesso;
  • una chiara descrizione delle responsabilità dell'utente e della istituzione dell'UE;
  • come si atteggia il monitoraggio dell'uso di dispositivi mobili da parte del personale; etc.

 

Tali linee guida rappresentano un traguardo importante nel mondo privacy perché riguardano gli aspetti di sicurezza organizzativi e tecnici, come previsto dal Regolamento (CE) n. 45/2001, che le istituzioni europee devono adottare per l’uso dei dispositivi mobili. Il Garante Europeo raccomanda, in ogni caso, di leggere le linee guida ora argomentate insieme agli ultimi orientamenti su trattamento dei dati personali nelle comunicazioni elettroniche nell'Unione europea, che affrontano anche la questione del monitoraggio dei dispositivi mobili da parte delle istituzioni comunitarie, e naturalmente al Regolamento Europeo sulla privacy in corso di approvazione.

 

Dott.ssa Anna Veltri 
Consultant Colin & Partners



Designed by Nuovi S.O.C.I. Team
P. IVA 01284450192