WhatsApp è installata su oltre due miliardi di dispositivi nel mondo. Nelle aziende italiane è diventata di fatto lo strumento di coordinamento più usato tra colleghi, con clienti e con fornitori, spesso senza che l’organizzazione ne abbia mai discusso in sede di governance della privacy o di sicurezza informatica.Accanto a WhatsApp proliferano Telegram, Signal, Teams in versione personale, applicazioni di task management consumer e decine di altri strumenti che i dipendenti adottano autonomamente perché li trovano comodi, veloci, già installati sul proprio smartphone. Questo fenomeno ha un nome preciso: shadow IT, ovvero l’insieme di sistemi informatici, applicazioni e servizi utilizzati all’interno di un’organizzazione senza esplicita approvazione, supervisione o gestione da parte del reparto IT e della direzione.Le conseguenze di questa deriva non sono soltanto tecniche. Ogni volta che un dato personale: il nome di un paziente, il numero di telefono di un cliente, il contenuto di una trattativa commerciale transita su un’app non autorizzata, si produce potenzialmente una violazione del Regolamento (UE) 2016/679, un rischio di data breach, una perdita di controllo irreversibile sulle informazioni aziendali. Il titolare del trattamento, ai sensi dell’art. 5, par. 2, del GDPR, è responsabile del rispetto dei principi enunciati al par. 1 e deve essere in grado di comprovarlo (accountability). Questa responsabilità non si sospende quando è un dipendente ad agire spontaneamente.Indice degli argomenti