Smartphone e Privacy

Smartphone e Privacy

La posizione del Garante

 In premessa si ricorda che di recente il Garante per la protezione dei dati personali nel suo provvedimento n. 547 del 22 dicembre 2016 ha ribadito il concetto in base al quale il datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale. In particolare, è stata multata una multinazionale che acquisiva, mediante apposito sistema, informazioni anche private contenute nel telefono aziendale in dotazione ai dipendenti.

 Tale attività configura un comportamento illecito, in contrasto sia con il D.lgs. n. 196/2003 e s.m.i. (di seguito anche Codice privacy) che con la L. n. 300/1970 (di seguito anche Statuto dei lavoratori), in quanto la disciplina di settore in materia di controlli a distanza non consente di effettuare attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

 Le violazioni riscontrate dall’Autorità sono state, per quel che in questa sede interessa, in particolare:

  • la mancanza di una idonea informativa ex art. 13 del Codice privacy;
  • la possibilità di accesso da remoto ai device in uso dai dipendenti, non solo per attività di manutenzione, alle informazioni contenute negli smartphone (anche private e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

 Il Garante per la protezione dei dati personali ha precisato che il datore di lavoro, infatti, pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa.

Premesso ciò, di seguito si indicano, sempre in via generale, anche in ottica Regolamento UE n. 679/2016 (GDPR), le principali incombenze da affrontare per tutelarsi dalle sanzioni del Garante per la protezione dei dati personali in caso di uso di dispositivi mobili con installazione di un sistema Mobile Device Management (MDM):

  1. coinvolgere preliminarmente i responsabili interni all’azienda sugli aspetti relativi all’introduzione e all’uso di dispositivi mobili utilizzati anche per fini lavorativi;
  2. effettuare un Privacy Impact Assessment (PIA), ovvero una valutazione dei benefici e rischi connessi all’uso dei dispositivi mobili in materia di privacy soprattutto sotto il punto di vista della sicurezza dell’infrastruttura IT e del rispetto dei principi generali imposti dalla normativa vigente (liceità, proporzionalità, non eccedenza, necessità, data retention, ecc.)
  3. redigere e distribuire l’informativa sul trattamento dei dati ex art. 13 del Codice privacy;
  4. impostare sul dispositivo idonee misure di sicurezza;
  5. adottare procedure interne per la corretta e tempestiva gestione delle eventuali violazioni di dati (Data Breach);
  6. adottare una policy sull’uso dei dispositivi mobili per tutto il ciclo di vita degli stessi soffermandosi sull’uso dei dati in essi contenuti;
  7. individuare correttamente i soggetti (interni e/o esterni alla azienda) che accedono ai dati e nominarli quali incaricati del trattamento o responsabili, distinguendo chi accede ai dati anche con funzione di amministratore di sistema (ADS);
  8. analizzare il sistema dal punto di vista dell’applicazione dell’art. 4 della L. n. 300/1970 sui controlli a distanza; etc.

Come applicare un sistema Mobile Device Management (MdM)

 Precisato quanto sopra, scendendo nello specifico ed analizzando il sistema Mobile Device Management (MDM) occorre soffermarsi sui seguenti punti focali.

    • gli smartphone aziendali ad uso esclusivamente lavorativo, che potrebbe essere regolamentato in maniera più “semplice”;
    • gli Smartphone aziendali ad uso promiscuo e/o smartphone personali con configurazione del cosiddetto BYOD (Bring your own device). Questo caso è il più problematico in quanto sono necessarie Policy ad hoc (BYOD Policy) e strumenti software per limitare l’utilizzo del datore di lavoro dei dati personali del dipendente.
    • Stabilire la proprietà del device sul quale il sistema Mobile Device Management (MDM) dovrà essere implementato. Tale distinzione rileva in quanto occorre tenere separate due tipologie di dispositivi:

  2. Stabilito quanto sopra, occorre poi analizzare la possibilità del datore di lavoro di avere accesso e controllo, tramite il sistema Mobile Device Management (MDM), a varie configurazioni e log di sistema dei dispositivi sul quale verrà installato. Tale distinzione rileva soprattutto in quanto il livello di controllo del device risulterebbe troppo invasivo qualora, per esempio, il blocco e la cancellazione riguardasse tutte le applicazioni installate sul dispositivo anche dal dipendente.
  3. Con il sistema MDM il datore di lavoro può avere accesso alle applicazioni installate sul device, ma non è permesso nessun accesso al contenuto delle applicazioni stesse. Tale indicazione risulterebbe coerente con le disposizioni normative relative alla privacy, tuttavia occorre evidenziare come anche la sola possibilità del datore di lavoro di accedere e visionare le applicazioni personali installate dal lavoratore configurerebbe un trattamento eccedente rispetto alla finalità perseguita ai sensi degli artt. 3 e 11 del Codice privacy (si pensi al caso di installazione di un applicazione sanitaria specifica p.e. per il diabete che rileva la condizione specifica sanitaria del dipendente). Per risolvere tale aspetto occorrerebbe impostare il sistema in maniera tale che il lavoratore non possa scaricare determinate applicazioni e/o che il datore di lavoro non possa accedere a tali informazioni.
  4. Inoltre, bisognerebbe soffermarsi sulla possibilità di georeferenziare il dispositivo. In tale caso occorre comprendere se il lavoratore in possesso del dispositivo possa disattivare la rilevazione GPS a suo piacimento. La questione rileva soprattutto in ordine all’applicazione dell’art. 4 dello statuto dei lavoratori.
  5. Relativamente alla conservazione dei dati contenuti nel singolo dispositivo ed in back-up occorre rilevare che gli stessi se conservati in cloud devono rispettare quanto stabilito dalla legge in merito al trasferimento dei dati verso paesi Extra-UE. A titolo esemplificativo, il sistema cloud, ai sensi dall’art. 26 della Direttiva 95/46/CE, dovrebbe attenersi alle decisioni di adeguatezza della Commissione UE in materia oppure dovrebbe essere in linea con le Clausole contrattuali standard adottate dalla Commissione nel 2010 individuate per il trasferimento.

Solo risolvendo le questioni sopra analizzate è possibile procedere correttamente alla predisposizione del sistema Mobile Device Management (MDM) sugli smartphone usati dai dipendenti in compliance con il D.lgs. n. 196/2003 e s.m.i., nonché con il Regolamento UE n. 679/2016 (GDPR), ed alla redazione dei documenti necessari dal punto di vista privacy.

More in this category: « Le novità del GDPR per le imprese Controllo dei pc: se e quando è possibile »