{"id":1863,"date":"2024-05-14T11:06:26","date_gmt":"2024-05-14T09:06:26","guid":{"rendered":"https:\/\/clanto.it\/?p=1863"},"modified":"2024-05-27T18:11:33","modified_gmt":"2024-05-27T16:11:33","slug":"comodato-duso-normativa-data-protection-e-furto","status":"publish","type":"post","link":"https:\/\/clanto.it\/consigli-dataprotection\/comodato-duso-normativa-data-protection-e-furto\/","title":{"rendered":"Comodato d’uso: Normativa, Data Protection e Furto"},"content":{"rendered":"

Nel contesto aziendale<\/strong> moderno, l’assegnazione di dispositivi in comodato d’uso<\/strong> ai dipendenti \u00e8 diventata una prassi diffusa, offrendo vantaggi operativi e una maggiore flessibilit\u00e0 lavorativa. Tuttavia, questa pratica comporta anche una serie di responsabilit\u00e0 e obblighi normativi<\/strong> che le aziende devono rispettare per garantire la sicurezza dei dati<\/strong> e la conformit\u00e0 alle leggi sulla protezione dei dati<\/strong>.<\/p>\n

In Italia, il quadro normativo relativo alla gestione dei dispositivi aziendali assegnati ai dipendenti \u00e8 delineato da una combinazione di leggi nazionali, come il Codice Civile<\/strong>, e normative europee, come il Regolamento Generale sulla Protezione dei Dati (GDPR)<\/strong>. L’articolo 1804 del Codice Civile italiano stabilisce gli obblighi del comodatario<\/strong> (il dipendente) nei confronti del comodante<\/strong> (l’azienda) quando si tratta di dispositivi in comodato d’uso. Secondo questo articolo, il comodatario \u00e8 tenuto a custodire e conservare il dispositivo<\/strong> con la diligenza del buon padre di famiglia, utilizzandolo solo per gli scopi specificati nel contratto o dalla natura stessa del dispositivo. Inoltre, il comodatario non pu\u00f2 concedere il godimento della cosa<\/strong> a terzi senza il consenso del comodante. Se il comodatario non adempie a tali obblighi, il comodante ha il diritto di richiedere l’immediata restituzione della cosa<\/strong> e il risarcimento del danno eventualmente subito.<\/p>\n

Parallelamente, il GDPR, con i suoi articoli 32 e 33<\/strong>, sottolinea l’importanza della protezione dei dati personali<\/strong> contenuti nei dispositivi aziendali e la necessit\u00e0 di notificare tempestivamente<\/strong> eventuali violazioni dei dati alle autorit\u00e0 competenti. L’articolo 32 del GDPR impone alle aziende di adottare misure tecniche e organizzative adeguate<\/strong> per proteggere i dati personali da perdite, furti o accessi non autorizzati. Ci\u00f2 include la crittografia dei dati<\/strong>, il controllo degli accessi<\/strong> e la formazione dei dipendenti<\/strong> sulla sicurezza informatica. Allo stesso modo, l’articolo 33 del GDPR stabilisce l’obbligo di notificare le violazioni dei dati personali<\/strong> alle autorit\u00e0 di controllo competenti entro 72 ore dal momento della loro scoperta, a meno che non sia improbabile che la violazione comporti un rischio per i diritti e le libert\u00e0 delle persone fisiche.<\/p>\n

Considerando questo contesto normativo complesso, le aziende devono adottare una serie di misure e pratiche per garantire la conformit\u00e0 e la sicurezza dei dati quando assegnano dispositivi in comodato d’uso ai dipendenti. Queste misure possono includere la stipula di contratti chiari e dettagliati<\/strong>, la implementazione di politiche di sicurezza informatica robuste<\/strong> e la formazione dei dipendenti<\/strong> sulla corretta gestione dei dispositivi aziendali.<\/p>\n

In questo articolo, esamineremo in dettaglio le procedure e le pratiche consigliate per essere in regola quando si forniscono dispositivi in comodato d’uso ai dipendenti in conformit\u00e0 con la normativa italiana<\/strong>, comprese le strategie da seguire in caso di furto o smarrimento<\/strong>. Attraverso un’analisi approfondita di queste tematiche, forniremo alle aziende le conoscenze e le risorse necessarie per proteggere i dati sensibili, garantire la conformit\u00e0 normativa e mitigare i rischi legati alla gestione dei dispositivi aziendali.<\/p>\n

Fase 1: Il comodato d’uso
\n<\/strong><\/h2>\n

Quando un’azienda decide di assegnare dispositivi in comodato d’uso ai dipendenti, \u00e8 fondamentale adottare una serie di misure preliminari per garantire la conformit\u00e0 normativa e la sicurezza dei dati. Questa sezione esplorer\u00e0 i primi passi da compiere per avviare correttamente la gestione dei dispositivi in comodato d’uso.<\/p>\n

    \n
  1. Stipulazione del Contratto di Comodato d’Uso<\/strong>: Il primo passo cruciale \u00e8 la stipula di un contratto di comodato d’uso tra l’azienda (comodante) e il dipendente (comodatario). Questo contratto dovrebbe dettagliare chiaramente i diritti e le responsabilit\u00e0 delle parti, compresi gli obblighi del dipendente riguardo alla custodia e all’utilizzo del dispositivo, le restrizioni sull’uso personale del dispositivo e le conseguenze in caso di violazione degli obblighi contrattuali. Il contratto dovrebbe essere redatto in conformit\u00e0 con le disposizioni dell’articolo 1804 del Codice Civile italiano e del GDPR, garantendo la tutela dei diritti e degli interessi di entrambe le parti. NB: Nel contratto di comodato d’uso \u00e8 sempre bene specificare le conseguenze (tecniche, legali ed economiche) in caso di furto o smarrimento del dispositivo.<\/strong><\/em><\/li>\n
  2. Accettazione del Regolamento per l’Utilizzo degli Strumenti Informatici<\/strong>: In aggiunta al contratto di comodato d’uso, l’azienda dovrebbe redigere un regolamento interno che stabilisca le regole e le linee guida per l’utilizzo responsabile e sicuro dei dispositivi informatici assegnati ai dipendenti. Questo regolamento dovrebbe dettagliare le politiche aziendali riguardanti l’accesso ai dati aziendali, l’utilizzo delle risorse informatiche, la sicurezza delle password, e le misure di sicurezza informatica da adottare per proteggere i dati sensibili. La formazione dei dipendenti dovrebbe includere una revisione e una comprensione di questo regolamento, assicurando che tutti i dipendenti siano consapevoli delle loro responsabilit\u00e0 e degli obblighi normativi relativi all’uso dei dispositivi informatici aziendali.<\/li>\n
  3. Formazione dei Dipendenti<\/strong>: Oltre alla configurazione tecnica del dispositivo, \u00e8 importante fornire ai dipendenti una formazione adeguata sulla corretta gestione e utilizzo del dispositivo in conformit\u00e0 con le politiche aziendali e le normative sulla protezione dei dati. Questa formazione dovrebbe includere istruzioni sull’utilizzo sicuro del dispositivo, sulla gestione dei dati aziendali, e sulla segnalazione di eventuali problemi o violazioni alla sicurezza informatica. Inoltre, \u00e8 consigliabile sensibilizzare i dipendenti sui rischi legati all’uso non autorizzato del dispositivo e sulla necessit\u00e0 di proteggere le informazioni aziendali da accessi non autorizzati o perdite accidentali.<\/li>\n
  4. Registro dei Dispositivi<\/strong>: L’azienda dovrebbe redigere una lista dei dispositivi concessi in comodato d’uso mantenendo i dati essenziali per la sua identificazione (Marca, Modello, Codice Seriale, Colore ecc.) ed il dipendente al quale \u00e8 stato assegnato. Il registro deve essere fruibile dal reparto delle risorse umane e dal reparto IT dell’azienda e per questo non dovrebbe contenere alcun dato personale del dipendente tranne quelli strettamente legati alla fruizione del comodato d’uso (nome, cognome e numero di telefono per emergenze).<\/li>\n
  5. Audit e Controllo Periodico<\/strong>: Programmare un controllo obbligatorio cadenzato del dispositivo in comodato d’uso con il reparto IT dell’azienda cos\u00ec da poter effettuare controlli pi\u00f9 approfonditi dei dispositivi, anche, e soprattutto, a livello hardware. In tale occasione \u00e8 consigliabile la stesura di un rapporto di controllo da parte del reparto IT.<\/li>\n<\/ol>\n

    Adottando questi primi passi nella gestione dei dispositivi in comodato d’uso, le aziende possono stabilire una solida base per garantire la conformit\u00e0 normativa e la sicurezza dei dati, proteggendo cos\u00ec i propri interessi e riducendo i rischi associati alla gestione dei dispositivi aziendali assegnati ai dipendenti.<\/p>\n

    \n

    Non puoi tracciare indiscriminatamente i dispositivi<\/h3>\n

    Un dispositivo in comodato d’uso non pu\u00f2 essere tracciato indiscriminatamente, ma deve rispettare le regole stabilite dal contratto e dalla normativa sulla protezione dei dati. La gestione responsabile dei dati e il rispetto delle leggi sulla protezione dei dati sono fondamentali per garantire la sicurezza e la protezione dei dati dei dipendenti. Deve essere ben visibile un’etichetta o un icona che ricorda sempre che il dispositivo pu\u00f2 essere tracciato e soprattutto un alert quando viene eseguita la rilevazione.<\/p>\n<\/div>\n

    Fase 2: Configurazione del Dispositivo per la Sicurezza e la Protezione dei Dati
    \n<\/strong><\/h2>\n

    Una corretta configurazione dei dispositivi aziendali in comodato d’uso \u00e8 essenziale per garantire la sicurezza e la protezione dei dati sensibili.
    \nI dispositivi in comodato d’uso devono essere gestiti con politiche e regole pi\u00f9 ferree<\/strong> rispetto ai dispositivi fissi all’interno dell’azienda in quanto sono maggiormente soggetti a rotture e furti.<\/p>\n

    In questa sezione, esploreremo le migliori pratiche per configurare i dispositivi in modo da rispettare le normative sulla protezione dei dati e garantire la sicurezza informatica.<\/p>\n

      \n
    1. Aggiornamenti Software e Patch di Sicurezza<\/strong>: Assicurarsi che il dispositivo sia dotato degli ultimi aggiornamenti software e patch di sicurezza per mitigare le vulnerabilit\u00e0 note e proteggere dai rischi informatici.<\/li>\n
    2. Crittografia dei Dati<\/strong>: Utilizzare la crittografia dei dati per proteggere le informazioni sensibili memorizzate sul dispositivo, garantendo che i dati siano inaccessibili in caso di accesso non autorizzato.<\/li>\n
    3. Controlli degli Accessi e Autenticazione Multifattore<\/strong>: Implementare controlli degli accessi robusti e autenticazione multifattore per limitare l’accesso ai dati solo ai dipendenti autorizzati e proteggere il dispositivo da accessi non autorizzati.<\/li>\n
    4. Politiche di Utilizzo dei Dispositivi<\/strong>: Stabilire politiche chiare per l’utilizzo dei dispositivi aziendali, inclusi divieti sull’installazione di applicazioni non autorizzate e sul trasferimento di dati sensibili su dispositivi personali.<\/li>\n
    5. Monitoraggio delle Attivit\u00e0 e Rilevamento delle Minacce<\/strong>: Implementare strumenti di monitoraggio delle attivit\u00e0 e rilevamento delle minacce per identificare comportamenti sospetti e potenziali violazioni della sicurezza informatica.<\/li>\n
    6. Backup e Ripristino dei Dati<\/strong>: Effettuare regolarmente, e con maggiore frequenza, il backup dei dati memorizzati sul dispositivo e stabilire procedure per il ripristino dei dati in caso di perdita o danneggiamento del dispositivo.<\/li>\n
    7. DLP, MDM ed RMM di controllo<\/strong>: Ove previsto dal regolamento informatico dell’azienda i dispositivi devono essere controllabili e tracciabili da remoto previo avviso del dipendente limitatamente al all’informativa firmata dal dipendente.<\/li>\n<\/ol>\n
      \n

      Il comodato d’uso aumenta il rischio Cyber<\/h3>\n

      Il comodato d’uso aumenta il rischio Cyber per l’azienda, di conseguenza tutti i dispositivi in comodato d’uso devono essere gestiti in maniera particolare con policy di sicurezza pi\u00f9 stringenti come 2FA obbligatorio, password pi\u00f9 lunghe e politiche di backup pi\u00f9 ferree.<\/p>\n<\/div>\n

      Cosa Fare in Caso di Furto o Smarrimento<\/strong><\/h2>\n

      Il furto o lo smarrimento di un dispositivo aziendale pu\u00f2 costituire una grave minaccia per la sicurezza dei dati. \u00c8 fondamentale agire prontamente e seguendo procedure specifiche per mitigare i rischi e proteggere le informazioni sensibili dell’azienda. In questa sezione, esploreremo le azioni da intraprendere in caso di furto o smarrimento di un dispositivo aziendale.<\/p>\n

        \n
      1. Segnalazione Immediata<\/strong>: In caso di furto o smarrimento del dispositivo, \u00e8 essenziale segnalare immediatamente l’incidente ai responsabili della sicurezza informatica dell’azienda ed alle autorit\u00e0 competenti. Dare sempre la priorit\u00e0 al reparto IT dell’azienda<\/strong> in quanto a volte pochi minuti possono fare la differenza tra un furto qualunque ed un Data Breach.<\/li>\n
      2. Controllo Remoto e Disattivazione Remota<\/strong>: Utilizzare le funzionalit\u00e0 di controllo e disattivazione remota del dispositivo per impedire l’accesso non autorizzato ai dati sensibili. Questo pu\u00f2 essere fatto tramite software di gestione dei dispositivi mobili o servizi di sicurezza informatica avanzati, garantendo la protezione dei dati aziendali anche in caso di furto o smarrimento del dispositivo.<\/li>\n
      3. Cambio delle Password<\/strong>: Cambiare immediatamente le password di tutti i servizi e account aziendali a cui il dispositivo aveva accesso. Questo passaggio \u00e8 essenziale per proteggere ulteriormente i dati sensibili e prevenire l’accesso non autorizzato.<\/li>\n
      4. Analisi dei Rischi e delle Potenziali Violazioni<\/strong>: Condurre un’analisi dei rischi per valutare l’entit\u00e0 del danno potenziale e identificare le informazioni sensibili che potrebbero essere compromesse. Inoltre, \u00e8 importante valutare se l’incidente costituisca una violazione dei dati e se sia necessario notificarlo alle autorit\u00e0 competenti in conformit\u00e0 con le normative sulla protezione dei dati, come previsto dall’art. 33 del GDPR.<\/li>\n
      5. Collaborazione con le Autorit\u00e0 Competenti<\/strong>: Collaborare strettamente con le autorit\u00e0 competenti durante le indagini sul furto o lo smarrimento del dispositivo. Questo pu\u00f2 facilitare il recupero del dispositivo e l’identificazione dei responsabili, contribuendo cos\u00ec a ridurre ulteriormente i rischi per la sicurezza dei dati.<\/li>\n
      6. Comunicazione Interna ed Esterna<\/strong>: Mantenere una comunicazione trasparente con i dipendenti e altri interessati riguardo all’incidente di furto o smarrimento. Fornire informazioni dettagliate sulle azioni intraprese per proteggere i dati aziendali e mitigare i rischi pu\u00f2 contribuire a mantenere la fiducia e la trasparenza all’interno dell’azienda e con i clienti e i partner commerciali.<\/li>\n<\/ol>\n

        Cambio delle Password<\/strong><\/h3>\n

        Spesso questo aspetto viene sottovalutato, le password da cambiare, soprattutto in caso di mancanza di cifratura hardware<\/strong>, sono tutte<\/strong> le password che il dispositivo tiene salvate.
        \nVanno cambiate:<\/p>\n