No responderé a la pregunta legal ya que varía de una ubicación a otra, pero diré que muchas empresas en los EE. UU. y la UE se están mudando a un modelo de dispositivo (BYOD), donde los empleados suministran su propio equipo. . Ellos no estarían haciendo eso si no fuera legal. Los empleados que usan su propio equipo para acceder a los recursos de la empresa no son nada nuevo.
Las respuestas a sus otras preguntas están parcialmente determinadas por el software VPN. Si el software es estándar, el software de un proveedor externo, como Checkpoint Securemote o el cliente VPN de Cisco, entonces el software en sí es bastante seguro, está bien escrito, está probado para detectar vulnerabilidades y no tiene ninguna funcionalidad que espíe su computadora.
La consideración final depende de qué tan segura esté su computadora. Una VPN es bidireccional, por lo que si puede conectarse a los sistemas de la empresa, ellos pueden conectarse a la suya. Si su computadora está bien bloqueada, por ejemplo, utilizando los estándares del NIST, y su sistema operativo y sus aplicaciones están actualizados con un buen producto AV instalado, entonces debería estar bastante seguro. Si está compartiendo unidades sin requerir credenciales sólidas, tiene contraseñas deficientes o cuentas de invitado, por ejemplo, sería fácil para las personas acceder a los datos en su computadora si las reglas de dispositivos VPN de su empleador lo permiten.