PRIVACY

Con il BYOD cresce il rischio di violazioni al Codice della Privacy per imprese e dipendenti

Se il BYOD da un lato può permettere una estrema riduzione dei costi, facendo ricadere l’acquisto degli strumenti di lavoro, anzichè sull’azienda, sui dipendenti, dall’altro lato può certamente creare forti rischi dal lato della sicurezza dei dati.

Foto di jennyp98, Flickr

Cos’è il BYOD

Con il termine Bring Your Own Device si vuole indicare la tendenza attuale di utilizzare i propri dispositivi personali nel ciclo produttivo aziendale.

Ad esempio un dipendente, o un professionista, può scegliere di utilizzare liberamente il proprio smartphone o il proprio portatile per adempiere ai propri impegni lavorativi. Ciò ha certamente un impatto nei costi aziendali, poiché l’azienda non sarà più tenuta a fornire lo smartphone aziendale, o ad aggiornare costantemente il proprio parco macchine, lasciando ai propri collaboratori la possiblità di scegliere in autonomia quali strumenti acquistare in base alle loro esigenze o preferenze.

Tuttavia, se da un lato il beneficio è certamente immediato, sgravando l’impresa da costi diretti, se fatto senza i dovuti controlli e senza le dovute cautele comporterà notevoli rischi a livello di sicurezza, sicurezza dei dati e tutela dei segreti industriali.

La tendenza attuale

Stando ai dati appena diffusi da Intel Security (su una indagine condotta da MSI Research) i dati di professionisti e lavoratori che utilizzano i propri devices per lavoro è notevolmente in crescita. Infatti ben il 78% degli intervistati utilizza i propri dispositivi personali per attività lavorative.. Anche nel territorio italico viene confermata tale tendenza, con l’86% dei professionisti italiani che utilizza i propri dispositivi a lavoro.

Il problema di sicurezza. Le violazioni nel trattamento dei dati personali. Una possibile responsabilità del dipendente.

Il problema fondamentale rappresentato dal BYOD è tuttavia legato alla sicurezza dei dati. Pensiamo infatti ai soli dati che transitano ogni giorno attraverso detti dispositivi.

Con solo riferimento al trattamento dei dati personali (tralasciando qui l’analisi della tutela proprietà industriale e dei segreti aziendali) pensiamo a tutte le prescrizioni dettate dall’allegato B) al Codice della Privacy1. Ad esempio a tutte le prescrizioni legate alle password di screensaver, al blocco automatico dei computer, al cambio delle password ogni 6 mesi, etc, che spesso nei dispositivi personali non vengono rispettate.

Non crediamo però che solo le grandi aziende abbiano di tali problemi, poiché basta che il dipendente per pura comodità scarichi la propria mail di lavoro sul proprio dispositivo. Se tramite la suddetta mail transitano costantemente dati personali dei clienti dell’azienda (pensate ad esempio ad un impiegato al settore e-commerce) quel dispositivo sarà senza dubbio soggetto alle prescrizioni del citato allegato B) al Codice della Privacy.

Cosa ne risulta? che nel momento in cui il dipendendete non abbia impostato una password che si attivi in automatico al blocco del telefono, o lasci il dispositivo in mano ai terzi (anche ai figli) violerà le prescrizioni previste dal detto allegato B).

Il rischio tuttavia non è del solo datore di lavoro, ma è anche proprio del dipendente. Si ricorda infatti che sebbene l’art. 2049 c.c. non permetta prova liberatoria – nemmeno quando il datore di lavoro, rectius il Titolare del Trattamento, abbia previsto regole specifiche per l’utilizzo dei dispositivi personali2i dipendenti e collaboratori potranno risultare parimenti responsabili per ogni violazione intervenuta e per ogni danno da loro cagionato.

Il trattamento dei dati personali è infatti equiparato dal Codice della Privacy alle attività pericolose.

Art. 15 Danni cagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.
2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11.

Ciò implica che chiunque effettui il trattamento potrà essere ritenuto responsabile per l’illecito trattamento dei dati personali, anche il dipendente, laddove non dimostri di avere adottato tutte le misure idonee a evitare il danno.

Pertanto occorre fare certamente attenzione all’utilizzo degli strumenti personali per fini lavorativi, poiché per quanto possa tornare comodo ed utile, comunque vi sono dei rischi da cui non si va esenti per il solo fatto di essere in una posizione subordinata rispetto al titolare del trattamento. Chiunque venga in contatto con dei dati personali, infatti, andrà incontro alla potenziale applicabilità del combinato disposto degli artt. 15 Codice Privacy e 2050 c.c., risultando pertanto responsabile laddove dall’illecito trattamento dei dati personali ne derivi un danno all’interessato.



  1. Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza 
  2. Cass. civ. Sez. III, 18/07/2003, n. 11241 (rv. 565245). Allorché, in relazione al danno ad un terzo cagionato dal fatto illecito dell’allievo, sia stata affermata la responsabilità dell’insegnante di scuola privata ex art. 2048 c.c. per mancata dimostrazione dell’inevitabilità dell’evento dannoso, sussiste la responsabilità indiretta dell’istituto scolastico con il quale detto insegnante intratteneva il rapporto di lavoro, responsabilità che, traendo fondamento dalla rigorosa previsione dell’art. 2049 c.c., non ammette prova liberatoria da parte del datore di lavoro, sul quale grava il rischio di impresa. 

Info sull'Autore

Andrea Rinaldo

Laureato in Giurisprudenza ed appassionato di informatica. Mi occupo di proprietà intellettuale, industriale, privacy ed ICT.

Leggi articolo precedente:
Capire e Conoscere: Il Contratto SaaS (Software As A Service)
Imbarazzo AGCOM
Newsletter 2015/1
Chiudi