<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=50912&amp;fmt=gif">
Blog GDPR

Dati aziendali e tutela della privacy: smartphone in pericolo?

[fa icon="calendar"] 31-dic-2019 11.00.00 / da Paolo Monini

Gdpr,-dati-dipendenti-e-smartphone--informazioni-aziendali-in-pericolo

Quando si parla di dati aziendali e tutela della privacy spesso si sottovaluta una criticità molto rilevante per le aziende: nei dispositivi mobili possono essere presenti sia dati personali dei lavoratori (riguardanti la loro sfera privata) sia informazioni aziendali che rischiano di essere vulnerabili e accessibili.

Cosa si può fare quindi per la sicurezza dati aziendali memorizzati sul telefono?

 

Sicurezza dati aziendali: quali informazioni sono coinvolte?

Quando usiamo lo smartphone a scopo lavorativo dobbiamo essere sempre consapevoli di portare in tasca con noi un oggetto contenente dati potenzialmente accessibili, sia nel caso in cui il dispositivo mobile venga smarrito o rubato, che nell’ipotesi di violazione del sistema tramite rete.

Se già le vulnerabilità tipiche di un telefono possono costituire di per sé un pericolo per tutti i dati personali dell’interessato, figuriamoci se, tra questi, sono presenti anche file aziendali daie quali estrapolare informazioni sui clienti, sui fornitori, finanziarie o sul know-how dell’attività:

  • i contatti in rubrica (con tanto di dati identificativi),
  • il registro delle chiamate
  • il contenuto delle email
  • messaggi di testo
  • contenuti multimediali come foto e video
  • la cronologia del browser
  • credenziali di account vari (compresi quelli delle pagine social)
  • numeri di carte di credito.

 

Dati aziendali e tutela della privacy: disposto normativo

Il GDPR, a proposito di obblighi in capo alle aziende, ha previsto che queste devono garantire ai dati personali archiviati nei dispositivi mobili dei dipendenti lo stesso trattamento riservato alle informazioni memorizzate nei server. Di conseguenza le sanzioni in caso di violazione sono le medesime. Attenzione che la normativa non si riferisce ai dati personali del dipendente utilizzatore/possessore del telefono, ma a quelli di terze parti coinvolte (clienti, fornitori…).

Va da sé che condizioni di utilizzo e l’accessibilità di un server aziendale non sono le stesse rispetto ad uno smartphone: se connesso a reti Wi-Fi non protette un dispositivo mobile è certamente più a rischio di violazione con conseguente intercettazione di dati. Se poi il dipendente non è sufficientemente informato e formato sul corretto utilizzo dell’apparecchio, la minaccia può arrivare anche da applicazioni o da siti non sicuri.

 

Politiche aziendali su privacy e sicurezza

È evidente che per garantire la privacy dei dati contenuti in un telefono bisogna agire su 2 fronti: con adeguate misure di protezione software e con una corretta formazione dei dipendenti circa le procedure aziendali da adottare.

Ecco su quali aspetti intervenire nell’immediato:

  • limitare l’accesso al dispositivo con password o sistemi di sicurezza analoghi (riconoscimento delle impronte digitali o del volto) in modo da garantire una gestione efficacie dei profili utenti
  • configurare correttamente l’accesso a dispositivi esterni e supporti di archiviazione
  • configurare correttamente l’accesso a reti Wi-Fi di terzi
  • garantire la regolare distribuzione degli aggiornamenti
  • garantire regolare manutenzione del sistema operativo.

Per eliminare o ridurre il più possibile l’errore umano (uso non corretto da parte del dipendente) deve essere attuato un piano di formazione per far comprendere a tutto il personale responsabilità e obblighi relativi all’uso dei dispositivi mobili e al trattamento dei dati personali.

 

Hai mai considerato in che modo sono usati gli smartphone dai tuoi dipendenti? Sei del tutto consapevole delle vulnerabilità che interessano i dispositivi mobili?

Richiedi un audit di conformità al GDPR ai nostri esperti.

Consulenza Privacy

Categorie: Mobile Security, Email Security, Regolamento Privacy, Misure di Sicurezza Privacy

Paolo Monini

Scritto da Paolo Monini

Founder & Risk Manager in ArchiMedia srl dal 1995. Lead Auditor 27001/2014. Privacy Officer Certified TÜV. Delegato Federprivacy.