L'imposizione dell'uso dello smartphone personale (BYOD) per finalità lavorative solleva significative criticità legali.  Sebbene non sia vietato in sé, il datore di lavoro non può obbligare il dipendente a utilizzare il proprio dispositivo come strumento aziendale, specialmente se ciò comporta l'installazione di applicativi invasivi. Il trattamento dei dati raccolti tramite tali dispositivi (es. geolocalizzazione, comunicazioni) deve rispettare i principi di liceità, minimizzazione e trasparenza. La base giuridica del consenso del lavoratore è considerata fragile a causa della disparità di potere nel rapporto di lavoro.  Pertanto, il datore di lavoro deve fondare il trattamento su un legittimo interesse, dimostrando che sia necessario e proporzionato, e che non prevalgano i diritti e le libertà fondamentali del dipendente. L'installazione di applicativi che consentono un controllo a distanza dell'attività lavorativa rientra nel campo di applicazione dell'art. 4 dello Statuto dei Lavoratori. Tali sistemi sono spesso qualificabili come "elementi aggiunti" allo strumento di lavoro, non indispensabili per l'esecuzione della prestazione, e come tali soggetti alla procedura di accordo sindacale o autorizzazione dell'Ispettorato del Lavoro (art. 4, comma 1). Una politica BYOD può essere considerata legittima solo se regolata da una policy aziendale chiara, che preveda:

• Una completa informativa sulle modalità d'uso e sui controlli effettuabili. 

• Misure tecniche adeguate per garantire la separazione tra dati personali e aziendali. 

• Il rispetto dei principi di pertinenza e non eccedenza nei controlli.