Se il dipendente utilizza il suo apparecchio privato sul posto di lavoro vi è il pericolo che i suoi dati personali cui accede dall'apparecchio non siano chiaramente separati dalla sua attività professionale. Nel caso in cui il datore di lavoro voglia consultare determinati dati professionali, non è escluso che egli possa avere accesso anche a dati privati del dipendente, cosa che può comportare una lesione della personalità.
Per i datori di lavoro vi è il rischio che dati professionali divengano accessibili a terzi qualora i rispettivi dipendenti li elaborino nel tempo libero (ad es. quando l'apparecchio viene utilizzato da familiari). L'uso privato può anche aumentare il rischio di perdita o di abuso di dati professionali. Eventuali manipolazioni quali il jailbreaking (eliminazione non autorizzata di restrizioni d'uso) possono inoltre pregiudicare la sicurezza dei dati. Inoltre taluni obblighi di conservazione non possono essere garantiti se non vengono eseguiti backup fuori dal posto di lavoro.
Misure
Per ridurre al minimo i rischi relativi alla protezione dei dati nel caso in cui sia stata programmata un'utilizzazione BYOD, andrebbero in particolare osservati i seguenti punti:
- Chiare regole d'uso (ad es. in forma di istruzione scritta) che specifichino ciò che è permesso e ciò che è vietato. Il BYOD sottostà fondamentalmente alle stesse normative in materia di protezione dei dati che si applicano all'infrastruttura elettronica sul posto di lavoro.
- Separazione (tecnica e logica) dei dati privati da quelli professionali
- Garanzia della sicurezza dei dati (ad es. mediante strumenti crittografici, password ecc.)
- Chiare disposizioni concernenti l'area di memorizzazione dei dati professionali (se possibile su un server locale)
- Obbligo di approvazione da parte di un responsabile designato
- Regolamentazione dell'accesso all'apparecchio da parte del datore di lavoro (ad es. per l'esame degli apparecchi, la manutenzione in rete ecc.)
Accanto a considerazioni in materia di diritto sulla protezione dei dati, il BYOD tange ulteriori aspetti che devono essere chiariti: questioni di diritto del lavoro quali il controllo del tempo di lavoro e la disponibilità permanente, l'impiego di licenze, questioni di responsabilità ecc.
Alternative
Il Corporate Owned Personally Enabled (COPE) potrebbe rappresentare una soluzione più appropriata all'utilizzazione di smartphone in seno all'impresa: invece del disbrigo di funzioni professionali su apparecchi privati, il COPE definisce il margine di manovra per l'uso privato di apparecchi aziendali. La ditta sceglie gli apparecchi preferiti, li acquista e permette agli impiegati di installarvi alcune applicazioni personali oltre che di usarli privatamente. Quale proprietaria la ditta definisce le condizioni d'uso e i limiti dei costi.
Una variante intermedia è il Choose Your Own Device (CYOD), nell'ambito del quale il dipendente acquista un apparecchio «ufficialmente» assistito (con o senza partecipazione della ditta ai costi) e la ditta ne decide la configurazione. Ai dipendenti è di conseguenza vietato apportare modifiche alle configurazioni impostate.
Vi sono ancora ulteriori possibilità di Bring Your Own Connection (BYOC) che prevedono l'impiego di un cellulare privato come hotspot, nonché di Bring Your Own Software (BYOS) limitato alle applicazioni portatili, le quali dovrebbero essere disciplinate in modo uniforme all'interno dell'impresa.
Conclusioni
La decisione riguardante l'utilizzazione del BYOD compete alla ditta. Prima di introdurre un sistema BYOD occorrerebbe esaminare e ponderare attentamente tutti i vantaggi e gli svantaggi come pure le alternative. Riteniamo che l'uso del BYOD presenti aspetti delicati dal punto di vista della protezione dei dati per quanto riguarda la sicurezza dei dati e la delimitazione tra dati privati e professionali. Una separazione netta è tecnicamente difficile da realizzare e una delimitazione logica eventualmente non offre una protezione sufficiente dei dati professionali e non impedisce l'accesso a dati privati da parte dei datori di lavoro. Anche l'accesso da parte di quest'ultimi ai dati professionali solleva problemi, ad esempio nel caso in cui un apparecchio debba essere esaminato o sottoposto a manutenzione a distanza. Se gli apparecchi sono invece messi a disposizione dal datore di lavoro (cfr. alternative), quest'ultimo dispone di un margine di manovra molto più ampio dato che decide il tipo di apparecchi, l'utilizzazione, il software e le applicazioni. Per tali ragioni riteniamo che questa soluzione sia preferibile.