Comodato d’uso: Normativa, Data Protection e Furto

Nel contesto aziendale moderno, l’assegnazione di dispositivi in comodato d’uso ai dipendenti è diventata una prassi diffusa, offrendo vantaggi operativi e una maggiore flessibilità lavorativa. Tuttavia, questa pratica comporta anche una serie di responsabilità e obblighi normativi che le aziende devono rispettare per garantire la sicurezza dei dati e la conformità alle leggi sulla protezione dei dati.

In Italia, il quadro normativo relativo alla gestione dei dispositivi aziendali assegnati ai dipendenti è delineato da una combinazione di leggi nazionali, come il Codice Civile, e normative europee, come il Regolamento Generale sulla Protezione dei Dati (GDPR). L’articolo 1804 del Codice Civile italiano stabilisce gli obblighi del comodatario (il dipendente) nei confronti del comodante (l’azienda) quando si tratta di dispositivi in comodato d’uso. Secondo questo articolo, il comodatario è tenuto a custodire e conservare il dispositivo con la diligenza del buon padre di famiglia, utilizzandolo solo per gli scopi specificati nel contratto o dalla natura stessa del dispositivo. Inoltre, il comodatario non può concedere il godimento della cosa a terzi senza il consenso del comodante. Se il comodatario non adempie a tali obblighi, il comodante ha il diritto di richiedere l’immediata restituzione della cosa e il risarcimento del danno eventualmente subito.

Parallelamente, il GDPR, con i suoi articoli 32 e 33, sottolinea l’importanza della protezione dei dati personali contenuti nei dispositivi aziendali e la necessità di notificare tempestivamente eventuali violazioni dei dati alle autorità competenti. L’articolo 32 del GDPR impone alle aziende di adottare misure tecniche e organizzative adeguate per proteggere i dati personali da perdite, furti o accessi non autorizzati. Ciò include la crittografia dei dati, il controllo degli accessi e la formazione dei dipendenti sulla sicurezza informatica. Allo stesso modo, l’articolo 33 del GDPR stabilisce l’obbligo di notificare le violazioni dei dati personali alle autorità di controllo competenti entro 72 ore dal momento della loro scoperta, a meno che non sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche.

Considerando questo contesto normativo complesso, le aziende devono adottare una serie di misure e pratiche per garantire la conformità e la sicurezza dei dati quando assegnano dispositivi in comodato d’uso ai dipendenti. Queste misure possono includere la stipula di contratti chiari e dettagliati, la implementazione di politiche di sicurezza informatica robuste e la formazione dei dipendenti sulla corretta gestione dei dispositivi aziendali.

In questo articolo, esamineremo in dettaglio le procedure e le pratiche consigliate per essere in regola quando si forniscono dispositivi in comodato d’uso ai dipendenti in conformità con la normativa italiana, comprese le strategie da seguire in caso di furto o smarrimento. Attraverso un’analisi approfondita di queste tematiche, forniremo alle aziende le conoscenze e le risorse necessarie per proteggere i dati sensibili, garantire la conformità normativa e mitigare i rischi legati alla gestione dei dispositivi aziendali.

Fase 1: Il comodato d’uso

Quando un’azienda decide di assegnare dispositivi in comodato d’uso ai dipendenti, è fondamentale adottare una serie di misure preliminari per garantire la conformità normativa e la sicurezza dei dati. Questa sezione esplorerà i primi passi da compiere per avviare correttamente la gestione dei dispositivi in comodato d’uso.

1. Stipulazione del Contratto di Comodato d’Uso: Il primo passo cruciale è la stipula di un contratto di comodato d’uso tra l’azienda (comodante) e il dipendente (comodatario). Questo contratto dovrebbe dettagliare chiaramente i diritti e le responsabilità delle parti, compresi gli obblighi del dipendente riguardo alla custodia e all’utilizzo del dispositivo, le restrizioni sull’uso personale del dispositivo e le conseguenze in caso di violazione degli obblighi contrattuali. Il contratto dovrebbe essere redatto in conformità con le disposizioni dell’articolo 1804 del Codice Civile italiano e del GDPR, garantendo la tutela dei diritti e degli interessi di entrambe le parti. NB: Nel contratto di comodato d’uso è sempre bene specificare le conseguenze (tecniche, legali ed economiche) in caso di furto o smarrimento del dispositivo.
2. Accettazione del Regolamento per l’Utilizzo degli Strumenti Informatici: In aggiunta al contratto di comodato d’uso, l’azienda dovrebbe redigere un regolamento interno che stabilisca le regole e le linee guida per l’utilizzo responsabile e sicuro dei dispositivi informatici assegnati ai dipendenti. Questo regolamento dovrebbe dettagliare le politiche aziendali riguardanti l’accesso ai dati aziendali, l’utilizzo delle risorse informatiche, la sicurezza delle password, e le misure di sicurezza informatica da adottare per proteggere i dati sensibili. La formazione dei dipendenti dovrebbe includere una revisione e una comprensione di questo regolamento, assicurando che tutti i dipendenti siano consapevoli delle loro responsabilità e degli obblighi normativi relativi all’uso dei dispositivi informatici aziendali.
3. Formazione dei Dipendenti: Oltre alla configurazione tecnica del dispositivo, è importante fornire ai dipendenti una formazione adeguata sulla corretta gestione e utilizzo del dispositivo in conformità con le politiche aziendali e le normative sulla protezione dei dati. Questa formazione dovrebbe includere istruzioni sull’utilizzo sicuro del dispositivo, sulla gestione dei dati aziendali, e sulla segnalazione di eventuali problemi o violazioni alla sicurezza informatica. Inoltre, è consigliabile sensibilizzare i dipendenti sui rischi legati all’uso non autorizzato del dispositivo e sulla necessità di proteggere le informazioni aziendali da accessi non autorizzati o perdite accidentali.
4. Registro dei Dispositivi: L’azienda dovrebbe redigere una lista dei dispositivi concessi in comodato d’uso mantenendo i dati essenziali per la sua identificazione (Marca, Modello, Codice Seriale, Colore ecc.) ed il dipendente al quale è stato assegnato. Il registro deve essere fruibile dal reparto delle risorse umane e dal reparto IT dell’azienda e per questo non dovrebbe contenere alcun dato personale del dipendente tranne quelli strettamente legati alla fruizione del comodato d’uso (nome, cognome e numero di telefono per emergenze).
5. Audit e Controllo Periodico: Programmare un controllo obbligatorio cadenzato del dispositivo in comodato d’uso con il reparto IT dell’azienda così da poter effettuare controlli più approfonditi dei dispositivi, anche, e soprattutto, a livello hardware. In tale occasione è consigliabile la stesura di un rapporto di controllo da parte del reparto IT.

Adottando questi primi passi nella gestione dei dispositivi in comodato d’uso, le aziende possono stabilire una solida base per garantire la conformità normativa e la sicurezza dei dati, proteggendo così i propri interessi e riducendo i rischi associati alla gestione dei dispositivi aziendali assegnati ai dipendenti.

Fase 2: Configurazione del Dispositivo per la Sicurezza e la Protezione dei Dati

Una corretta configurazione dei dispositivi aziendali in comodato d’uso è essenziale per garantire la sicurezza e la protezione dei dati sensibili.
I dispositivi in comodato d’uso devono essere gestiti con politiche e regole più ferree rispetto ai dispositivi fissi all’interno dell’azienda in quanto sono maggiormente soggetti a rotture e furti.

In questa sezione, esploreremo le migliori pratiche per configurare i dispositivi in modo da rispettare le normative sulla protezione dei dati e garantire la sicurezza informatica.

1. Aggiornamenti Software e Patch di Sicurezza: Assicurarsi che il dispositivo sia dotato degli ultimi aggiornamenti software e patch di sicurezza per mitigare le vulnerabilità note e proteggere dai rischi informatici.
2. Crittografia dei Dati: Utilizzare la crittografia dei dati per proteggere le informazioni sensibili memorizzate sul dispositivo, garantendo che i dati siano inaccessibili in caso di accesso non autorizzato.
3. Controlli degli Accessi e Autenticazione Multifattore: Implementare controlli degli accessi robusti e autenticazione multifattore per limitare l’accesso ai dati solo ai dipendenti autorizzati e proteggere il dispositivo da accessi non autorizzati.
4. Politiche di Utilizzo dei Dispositivi: Stabilire politiche chiare per l’utilizzo dei dispositivi aziendali, inclusi divieti sull’installazione di applicazioni non autorizzate e sul trasferimento di dati sensibili su dispositivi personali.
5. Monitoraggio delle Attività e Rilevamento delle Minacce: Implementare strumenti di monitoraggio delle attività e rilevamento delle minacce per identificare comportamenti sospetti e potenziali violazioni della sicurezza informatica.
6. Backup e Ripristino dei Dati: Effettuare regolarmente, e con maggiore frequenza, il backup dei dati memorizzati sul dispositivo e stabilire procedure per il ripristino dei dati in caso di perdita o danneggiamento del dispositivo.
7. DLP, MDM ed RMM di controllo: Ove previsto dal regolamento informatico dell’azienda i dispositivi devono essere controllabili e tracciabili da remoto previo avviso del dipendente limitatamente al all’informativa firmata dal dipendente.

Cosa Fare in Caso di Furto o Smarrimento

Il furto o lo smarrimento di un dispositivo aziendale può costituire una grave minaccia per la sicurezza dei dati. È fondamentale agire prontamente e seguendo procedure specifiche per mitigare i rischi e proteggere le informazioni sensibili dell’azienda. In questa sezione, esploreremo le azioni da intraprendere in caso di furto o smarrimento di un dispositivo aziendale.

1. Segnalazione Immediata: In caso di furto o smarrimento del dispositivo, è essenziale segnalare immediatamente l’incidente ai responsabili della sicurezza informatica dell’azienda ed alle autorità competenti. Dare sempre la priorità al reparto IT dell’azienda in quanto a volte pochi minuti possono fare la differenza tra un furto qualunque ed un Data Breach.
2. Controllo Remoto e Disattivazione Remota: Utilizzare le funzionalità di controllo e disattivazione remota del dispositivo per impedire l’accesso non autorizzato ai dati sensibili. Questo può essere fatto tramite software di gestione dei dispositivi mobili o servizi di sicurezza informatica avanzati, garantendo la protezione dei dati aziendali anche in caso di furto o smarrimento del dispositivo.
3. Cambio delle Password: Cambiare immediatamente le password di tutti i servizi e account aziendali a cui il dispositivo aveva accesso. Questo passaggio è essenziale per proteggere ulteriormente i dati sensibili e prevenire l’accesso non autorizzato.
4. Analisi dei Rischi e delle Potenziali Violazioni: Condurre un’analisi dei rischi per valutare l’entità del danno potenziale e identificare le informazioni sensibili che potrebbero essere compromesse. Inoltre, è importante valutare se l’incidente costituisca una violazione dei dati e se sia necessario notificarlo alle autorità competenti in conformità con le normative sulla protezione dei dati, come previsto dall’art. 33 del GDPR.
5. Collaborazione con le Autorità Competenti: Collaborare strettamente con le autorità competenti durante le indagini sul furto o lo smarrimento del dispositivo. Questo può facilitare il recupero del dispositivo e l’identificazione dei responsabili, contribuendo così a ridurre ulteriormente i rischi per la sicurezza dei dati.
6. Comunicazione Interna ed Esterna: Mantenere una comunicazione trasparente con i dipendenti e altri interessati riguardo all’incidente di furto o smarrimento. Fornire informazioni dettagliate sulle azioni intraprese per proteggere i dati aziendali e mitigare i rischi può contribuire a mantenere la fiducia e la trasparenza all’interno dell’azienda e con i clienti e i partner commerciali.

Cambio delle Password

Spesso questo aspetto viene sottovalutato, le password da cambiare, soprattutto in caso di mancanza di cifratura hardware, sono tutte le password che il dispositivo tiene salvate.
Vanno cambiate:

• La password dell’account principale e di dominio
• La password dell’account di posta del dipendente
• Le password ed i certificati di eventuali VPN
• Le password salvate all’interno dei Browser, spesso questo aspetto viene tralasciato, ma l’accesso alle cartelle del disco anche senza conoscere la password dell’account permette di copiare tutte le password salvate nei browser

Controllo Remoto e Disattivazione

Spesso i software di gestione possiedono controlli aggiuntivi disattivati perchè violerebbero la protezione dei dati del dipendente, come il tracciamento in tempo reale continuo. In caso di furto del dispositivo è possibile attivare questi controlli aggiuntivi per ritrovarlo!

Quando segnalare il Data Breach al Garante per la protezione dei dati personali?

Il furto di un dispositivo in comodato d’uso può richiedere la notifica di violazione al Garante nel caso in cui il furto comporti un rischio elevato per i diritti e le libertà delle persone fisiche.

Quando non è richiesta la notifica

• Quando il dispositivo è dotato di crittografia hardware del disco con una password di accesso al sistema operativo complessa.
• Quando il dispositivo viene utilizzato senza trattamento di dati personali (es. dispositivo dedicato alle presentazioni aziendali, dispositivo di rappresentanza con al suo interno solo i listini) anche senza cifratura.

Anche se non è richiesta la notifica al Garante è comunque necessario documentare la violazione e li misure adottate per affrontarla in conformità con i requisiti del GDPR.

Quando è richiesta la notifica

• Quando all’interno del dispositivo, senza crittografia, sono conservati dati personali o si è mai fatto l’accesso ad un portale con al suo interno i dati personali di altri utenti e dipendenti.

Anche se c’è solo la foto di una carta d’identità di un’altra persona è richiesta la notifica al Garante.

 

Quadro Normativo

Codice Civile Italiano (Articolo 1804)

L’articolo 1804 del Codice Civile italiano stabilisce gli obblighi del comodatario (colui che riceve il bene in prestito) nei confronti del comodante (colui che concede il bene in prestito). In particolare, il comodatario è tenuto a custodire e conservare il bene con la diligenza del buon padre di famiglia e a usarlo conformemente a quanto stabilito nel contratto di comodato o alla natura del bene stesso. Di seguito, esploreremo in dettaglio le responsabilità del comodatario e del comodante, arricchendo l’analisi con esempi pratici e riferimenti a casi legali.

Responsabilità del Comodatario

1. Custodia e Conservazione
   • Obbligo: Il comodatario deve custodire e conservare il bene con la diligenza del buon padre di famiglia.
   • Esempio Pratico: Un dipendente che riceve un laptop aziendale in comodato d’uso deve assicurarsi di proteggerlo da furti e danni. Ad esempio, non deve lasciarlo incustodito in luoghi pubblici o esporlo a condizioni che potrebbero danneggiarlo, come temperature estreme o umidità.
2. Uso Conforme al Contratto
   • Obbligo: Il comodatario deve utilizzare il bene solo per gli scopi specificati nel contratto di comodato o per quelli derivanti dalla natura del bene stesso.
   • Esempio Pratico: Se il contratto di comodato stabilisce che il laptop aziendale deve essere utilizzato solo per scopi lavorativi, il dipendente non può utilizzarlo per attività personali, come scaricare software non autorizzati o accedere a siti web non sicuri.
3. Divieto di Concessione a Terzi
   • Obbligo: Il comodatario non può concedere l’uso del bene a terzi senza il consenso del comodante.
   • Esempio Pratico: Un dipendente non può prestare il laptop aziendale a un collega o a un amico senza l’autorizzazione dell’azienda. In caso contrario, potrebbe essere ritenuto responsabile per eventuali danni o perdite subite dal dispositivo durante l’uso da parte di terzi.
4. Restituzione del Bene
   • Obbligo: Il comodatario deve restituire il bene al comodante al termine del periodo di comodato o in caso di richiesta di restituzione anticipata.
   • Esempio Pratico: Al termine del rapporto di lavoro, il dipendente deve restituire il laptop aziendale. Se il dipendente cambia ruolo all’interno dell’azienda e non necessita più del dispositivo, deve restituirlo anche prima del termine del comodato.

Responsabilità del Comodante

1. Consegna del Bene in Buone Condizioni
   • Obbligo: Il comodante deve consegnare il bene in buone condizioni, idoneo all’uso previsto.
   • Esempio Pratico: L’azienda deve fornire un laptop funzionante, con tutti i software necessari installati e in buone condizioni operative. Se il dispositivo presenta difetti o malfunzionamenti, l’azienda deve provvedere alle riparazioni necessarie prima della consegna.
2. Manutenzione Straordinaria
   • Obbligo: Il comodante è responsabile per le riparazioni straordinarie necessarie per mantenere il bene idoneo all’uso.
   • Esempio Pratico: Se il laptop aziendale necessita di una riparazione significativa, come la sostituzione della scheda madre, l’azienda deve coprire i costi della riparazione. Tuttavia, il comodatario è responsabile per la manutenzione ordinaria, come la pulizia del dispositivo e la gestione degli aggiornamenti software.

Casi di Giurisprudenza

1. Cass. Civ., Sez. III, 20/01/2005, n. 1069
   • Caso: In questo caso, la Corte di Cassazione ha stabilito che il comodatario è responsabile per i danni al bene in comodato se non riesce a dimostrare di aver adottato tutte le misure necessarie per prevenirli.
   • Dettagli: Un comodatario aveva ricevuto in prestito un’automobile, che è stata danneggiata in un incidente. La Corte ha ritenuto il comodatario responsabile perché non aveva adottato tutte le precauzioni necessarie per evitare il danno.
2. Cass. Civ., Sez. III, 05/03/1998, n. 2471
   • Caso: La Corte di Cassazione ha stabilito che il comodante può richiedere la restituzione del bene in comodato anche prima della scadenza del termine, se il comodatario utilizza il bene in modo non conforme agli accordi.
   • Dettagli: Un comodante aveva concesso in comodato un appartamento per uso abitativo, ma il comodatario lo aveva utilizzato come ufficio. La Corte ha deciso che il comodante aveva il diritto di richiedere la restituzione immediata del bene.

Regolamento Generale sulla Protezione dei Dati (GDPR)

Il GDPR (Regolamento Generale sulla Protezione dei Dati) è una normativa europea che stabilisce le linee guida per la protezione dei dati personali dei cittadini dell’UE. Due degli articoli fondamentali per la sicurezza dei dati sono l’articolo 32, che riguarda la sicurezza del trattamento, e l’articolo 33, che disciplina la notifica delle violazioni dei dati personali. Di seguito esploreremo in dettaglio questi articoli, le misure tecniche e organizzative richieste, e forniremo esempi pratici e casi di violazioni per illustrare l’importanza della conformità.

Articolo 32: Sicurezza del Trattamento

L’articolo 32 del GDPR impone alle aziende di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Questo include la protezione dei dati personali da distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato.

Misure Tecniche e Organizzative Specifiche

1. Crittografia dei Dati
   • Descrizione: La crittografia trasforma i dati in un formato illeggibile per chiunque non possieda la chiave di decrittazione. Questo garantisce che i dati siano inaccessibili anche in caso di accesso non autorizzato.
   • Esempio Pratico: Utilizzare software di crittografia per proteggere i dati memorizzati sui dispositivi aziendali, come laptop e smartphone. La crittografia del disco rigido è una pratica comune per proteggere i dati sensibili.
2. Controllo degli Accessi
   • Descrizione: Implementare misure che garantiscano che solo il personale autorizzato possa accedere ai dati personali.
   • Esempio Pratico: Utilizzare autenticazione multifattore (MFA) per l’accesso ai sistemi aziendali. Questo richiede che gli utenti confermino la loro identità attraverso due o più metodi di autenticazione indipendenti.
3. Pseudonimizzazione
   • Descrizione: La pseudonimizzazione è una tecnica che sostituisce i dati identificativi con pseudonimi, rendendo più difficile l’identificazione delle persone a cui i dati si riferiscono.
   • Esempio Pratico: In un database di clienti, sostituire i nomi e gli indirizzi con codici univoci che solo l’azienda può riconoscere.
4. Misure di Resilienza
   • Descrizione: Garantire la capacità di ripristinare rapidamente l’accesso e la disponibilità dei dati personali in caso di incidente fisico o tecnico.
   • Esempio Pratico: Implementare piani di disaster recovery e backup regolari dei dati per garantire che le informazioni possano essere recuperate in caso di perdita o danneggiamento.
5. Test e Valutazione
   • Descrizione: Condurre regolarmente test e valutazioni delle misure di sicurezza per garantire la loro efficacia.
   • Esempio Pratico: Eseguire audit di sicurezza periodici e test di penetrazione per identificare e correggere le vulnerabilità nei sistemi aziendali.

Articolo 33: Notifica di una Violazione dei Dati Personali

L’articolo 33 del GDPR stabilisce che in caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

Procedure di Notifica

1. Valutazione del Rischio
   • Descrizione: Determinare la probabilità e la gravità del rischio per i diritti e le libertà delle persone fisiche derivanti dalla violazione.
   • Esempio Pratico: Valutare se i dati compromessi includono informazioni sensibili come dati finanziari o sanitari che potrebbero causare danni significativi agli individui.
2. Contenuto della Notifica
   • Descrizione: La notifica all’autorità di controllo deve contenere informazioni dettagliate sulla violazione, incluse le categorie e il numero approssimativo di interessati e di record di dati personali coinvolti, le conseguenze probabili della violazione e le misure adottate o proposte per porre rimedio alla violazione.
   • Esempio Pratico: Se un laptop aziendale contenente dati personali viene rubato, la notifica dovrebbe includere informazioni su quanti record di dati personali erano memorizzati sul dispositivo, la natura dei dati e le misure di sicurezza implementate, come la crittografia.
3. Comunicazione agli Interessati
   • Descrizione: Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare la violazione agli interessati senza ingiustificato ritardo.
   • Esempio Pratico: Informare direttamente i dipendenti e i clienti se i loro dati personali sono stati compromessi in seguito al furto di un dispositivo, fornendo indicazioni su come proteggersi ulteriormente, come il cambio delle password.

Fonti e Casi di Violazioni GDPR

L’EDPB fornisce linee guida dettagliate sulle misure di sicurezza e sulla notifica delle violazioni dei dati, che aiutano le aziende a comprendere meglio i requisiti del GDPR. Le linee guida includono esempi pratici e best practice per l’implementazione delle misure di sicurezza.

Nel contesto del GDPR, diversi casi di furto o smarrimento di dispositivi hanno portato a significative sanzioni per le aziende coinvolte. Questi casi mettono in evidenza l’importanza di adottare misure di sicurezza appropriate per proteggere i dati personali memorizzati su dispositivi aziendali. Di seguito sono riportati alcuni esempi specifici:

1. Telecoms Company (Regno Unito) – 2020

• Descrizione: Un laptop contenente dati personali di circa 28.000 dipendenti è stato rubato da un veicolo aziendale.
• Dettagli: Il laptop non era protetto da crittografia, e le informazioni contenute includevano dati personali sensibili come numeri di previdenza sociale e dettagli di contatto.
• Sanzione: L’Information Commissioner’s Office (ICO) ha inflitto una multa di 500.000 sterline per la mancanza di misure di sicurezza adeguate per proteggere i dati personali.
• Lezione Appresa: È fondamentale implementare la crittografia dei dati su tutti i dispositivi mobili e assicurarsi che i dipendenti comprendano l’importanza della sicurezza dei dispositivi.

2. Hospital in Portugal – 2018

• Descrizione: Un dispositivo USB contenente dati personali dei pazienti è stato smarrito da un dipendente dell’ospedale.
• Dettagli: Il dispositivo non era protetto da crittografia e conteneva informazioni mediche sensibili di migliaia di pazienti.
• Sanzione: La CNPD (Commissione Nazionale per la Protezione dei Dati) ha inflitto una multa di 400.000 euro all’ospedale per non aver adottato misure di sicurezza appropriate per proteggere i dati sensibili.
• Lezione Appresa: L’uso di dispositivi di archiviazione portatili deve essere rigorosamente controllato e tutti i dati sensibili devono essere crittografati.

3. Insurance Company (Spagna) – 2019

• Descrizione: Un dipendente ha smarrito un laptop contenente dati personali di clienti durante un viaggio di lavoro.
• Dettagli: Il laptop non era crittografato e conteneva informazioni finanziarie e di contatto di centinaia di clienti.
• Sanzione: L’AEPD (Agenzia Spagnola per la Protezione dei Dati) ha inflitto una multa di 250.000 euro all’azienda per non aver implementato misure di sicurezza sufficienti.
• Lezione Appresa: Le aziende devono garantire che i dispositivi mobili utilizzati dai dipendenti siano protetti da crittografia e altre misure di sicurezza.

4. Retailer (Germania) – 2020

• Descrizione: Un dipendente ha smarrito un tablet aziendale contenente dati personali di clienti durante un viaggio.
• Dettagli: Il tablet non era protetto da password o crittografia, e i dati includevano informazioni di contatto e storici di acquisto.
• Sanzione: Il BfDI (Commissario Federale per la Protezione dei Dati e la Libertà di Informazione) ha inflitto una multa di 300.000 euro per la mancanza di misure di sicurezza adeguate.
• Lezione Appresa: È essenziale utilizzare metodi di autenticazione robusti e crittografia per proteggere i dati memorizzati su dispositivi mobili.