Comodato d’uso: Normativa, Data Protection e Furto

Nel contesto scolastico moderno, l’assegnazione di dispositivi in comodato d’uso è diventata una prassi diffusa, offrendo vantaggi operativi e una maggiore flessibilità lavorativa. Tuttavia, questa pratica comporta anche una serie di responsabilità e obblighi normativi che le scuole devono rispettare per garantire la sicurezza dei dati e la conformità alle leggi sulla protezione dei dati.

In Italia, il quadro normativo relativo alla gestione dei dispositivi scolastici assegnati a personale, docenti o studenti è delineato da una combinazione di leggi nazionali, come il Codice Civile, e normative europee, come il Regolamento Generale sulla Protezione dei Dati (GDPR). L’articolo 1804 del Codice Civile italiano stabilisce gli obblighi del comodatario (membro del personale, docente o studente) nei confronti del comodante (la scuola) quando si tratta di dispositivi in comodato d’uso. Secondo questo articolo, il comodatario è tenuto a custodire e conservare il dispositivo con la diligenza del buon padre di famiglia, utilizzandolo solo per gli scopi specificati nel contratto o dalla natura stessa del dispositivo. Inoltre, il comodatario non può concedere il godimento della cosa a terzi senza il consenso del comodante. Se il comodatario non adempie a tali obblighi, il comodante ha il diritto di richiedere l’immediata restituzione della cosa e il risarcimento del danno eventualmente subito.

Parallelamente, il GDPR, con i suoi articoli 32 e 33, sottolinea l’importanza della protezione dei dati personali contenuti nei dispositivi scolastici e la necessità di notificare tempestivamente eventuali violazioni dei dati alle autorità competenti. L’articolo 32 del GDPR impone alle scuole di adottare misure tecniche e organizzative adeguate per proteggere i dati personali da perdite, furti o accessi non autorizzati. Ciò include la crittografia dei dati, il controllo degli accessi e la formazione del personale sulla sicurezza informatica. Allo stesso modo, l’articolo 33 del GDPR stabilisce l’obbligo di notificare le violazioni dei dati personali alle autorità di controllo competenti entro 72 ore dal momento della loro scoperta, a meno che non sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche.

Considerando questo contesto normativo complesso, le scuole devono adottare una serie di misure e pratiche per garantire la conformità e la sicurezza dei dati quando assegnano dispositivi in comodato d’uso. Queste misure possono includere la stipula di contratti chiari e dettagliati, la implementazione di politiche di sicurezza informatica robuste e la formazione del personale sulla corretta gestione dei dispositivi scolastici.

In questo articolo, esamineremo in dettaglio le procedure e le pratiche consigliate per essere in regola quando si forniscono dispositivi in comodato d’uso in conformità con la normativa italiana, comprese le strategie da seguire in caso di furto o smarrimento. Attraverso un’analisi approfondita di queste tematiche, forniremo alle scuole le conoscenze e le risorse necessarie per proteggere i dati sensibili, garantire la conformità normativa e mitigare i rischi legati alla gestione dei dispositivi scolastici.

Fase 1: Il comodato d’uso

Quando una scuola decide di assegnare dispositivi in comodato d’uso, è fondamentale adottare una serie di misure preliminari per garantire la conformità normativa e la sicurezza dei dati. Questa sezione esplorerà i primi passi da compiere per avviare correttamente la gestione dei dispositivi in comodato d’uso.

1. Stipulazione del Contratto di Comodato d’Uso: Il primo passo cruciale è la stipula di un contratto di comodato d’uso tra la scuola (comodante) e il membro del personale, il docente o lo studente (comodatario). Questo contratto dovrebbe dettagliare chiaramente i diritti e le responsabilità delle parti, compresi gli obblighi del comodatario riguardo alla custodia e all’utilizzo del dispositivo, le restrizioni sull’uso personale del dispositivo e le conseguenze in caso di violazione degli obblighi contrattuali. Il contratto dovrebbe essere redatto in conformità con le disposizioni dell’articolo 1804 del Codice Civile italiano e del GDPR, garantendo la tutela dei diritti e degli interessi di entrambe le parti. NB: Nel contratto di comodato d’uso è sempre bene specificare le conseguenze (tecniche, legali ed economiche) in caso di furto o smarrimento del dispositivo.
2. Accettazione del Regolamento per l’Utilizzo degli Strumenti Informatici: In aggiunta al contratto di comodato d’uso, la scuola dovrebbe redigere un regolamento interno che stabilisca le regole e le linee guida per l’utilizzo responsabile e sicuro dei dispositivi informatici assegnati. Questo regolamento dovrebbe dettagliare le politiche scolastiche riguardanti l’accesso ai dati scolastici, l’utilizzo delle risorse informatiche, la sicurezza delle password, e le misure di sicurezza informatica da adottare per proteggere i dati sensibili. La formazione del personale dovrebbe includere una revisione e una comprensione di questo regolamento, assicurando che tutti siano consapevoli delle loro responsabilità e degli obblighi normativi relativi all’uso dei dispositivi informatici scolastici.
3. Formazione del personale: Oltre alla configurazione tecnica del dispositivo, è importante fornire al personale una formazione adeguata sulla corretta gestione e utilizzo del dispositivo in conformità con le politiche scolastiche e le normative sulla protezione dei dati. Questa formazione dovrebbe includere istruzioni sull’utilizzo sicuro del dispositivo, sulla gestione dei dati scolastici, e sulla segnalazione di eventuali problemi o violazioni alla sicurezza informatica. Inoltre, è consigliabile sensibilizzare il personale sui rischi legati all’uso non autorizzato del dispositivo e sulla necessità di proteggere le informazioni scolastiche da accessi non autorizzati o perdite accidentali.
4. Registro dei Dispositivi: La scuola dovrebbe redigere una lista dei dispositivi concessi in comodato d’uso mantenendo i dati essenziali per la sua identificazione (Marca, Modello, Codice Seriale, Colore ecc.) e la persona al quale è stato assegnato. Il registro deve essere fruibile dall’ufficio del personale e dal responsabile IT e per questo non dovrebbe contenere alcun dato personale del comodatario tranne quelli strettamente legati alla fruizione del comodato d’uso (nome, cognome e numero di telefono per emergenze).
5. Audit e Controllo Periodico: Programmare un controllo obbligatorio cadenzato del dispositivo in comodato d’uso così da poter effettuare controlli più approfonditi dei dispositivi, anche, e soprattutto, a livello hardware. In tale occasione è consigliabile la stesura di un rapporto di controllo da parte del responsabile IT.

Adottando questi primi passi nella gestione dei dispositivi in comodato d’uso, le scuole possono stabilire una solida base per garantire la conformità normativa e la sicurezza dei dati, proteggendo così i propri interessi e riducendo i rischi associati alla gestione dei dispositivi scolastici assegnati.

Fase 2: Configurazione del Dispositivo per la Sicurezza e la Protezione dei Dati

Una corretta configurazione dei dispositivi scolastici in comodato d’uso è essenziale per garantire la sicurezza e la protezione dei dati sensibili.
I dispositivi in comodato d’uso devono essere gestiti con politiche e regole più ferree rispetto ai dispositivi fissi all’interno della scuola in quanto sono maggiormente soggetti a rotture e furti.

In questa sezione, esploreremo le migliori pratiche per configurare i dispositivi in modo da rispettare le normative sulla protezione dei dati e garantire la sicurezza informatica.

1. Aggiornamenti Software e Patch di Sicurezza: Assicurarsi che il dispositivo sia dotato degli ultimi aggiornamenti software e patch di sicurezza per mitigare le vulnerabilità note e proteggere dai rischi informatici.
2. Crittografia dei Dati: Utilizzare la crittografia dei dati per proteggere le informazioni sensibili memorizzate sul dispositivo, garantendo che i dati siano inaccessibili in caso di accesso non autorizzato.
3. Controlli degli Accessi e Autenticazione Multifattore: Implementare controlli degli accessi robusti e autenticazione multifattore per limitare l’accesso ai dati solo al personale autorizzato e proteggere il dispositivo da accessi non autorizzati.
4. Politiche di Utilizzo dei Dispositivi: Stabilire politiche chiare per l’utilizzo dei dispositivi scolastici, inclusi divieti sull’installazione di applicazioni non autorizzate e sul trasferimento di dati sensibili su dispositivi personali.
5. Monitoraggio delle Attività e Rilevamento delle Minacce: Implementare strumenti di monitoraggio delle attività e rilevamento delle minacce per identificare comportamenti sospetti e potenziali violazioni della sicurezza informatica.
6. Backup e Ripristino dei Dati: Effettuare regolarmente, e con maggiore frequenza, il backup dei dati memorizzati sul dispositivo e stabilire procedure per il ripristino dei dati in caso di perdita o danneggiamento del dispositivo.
7. DLP, MDM ed RMM di controllo: Ove previsto dal regolamento informatico della scuola i dispositivi devono essere controllabili e tracciabili da remoto previo avviso del comodatario limitatamente al all’informativa firmata.

Cosa Fare in Caso di Furto o Smarrimento

Il furto o lo smarrimento di un dispositivo scolastico può costituire una grave minaccia per la sicurezza dei dati. È fondamentale agire prontamente e seguendo procedure specifiche per mitigare i rischi e proteggere le informazioni sensibili della scuola. In questa sezione, esploreremo le azioni da intraprendere in caso di furto o smarrimento di un dispositivo scolastico.

1. Segnalazione Immediata: In caso di furto o smarrimento del dispositivo, è essenziale segnalare immediatamente l’incidente ai responsabili della sicurezza informatica della scuola ed alle autorità competenti. Dare sempre la priorità al reparto IT della scuola in quanto a volte pochi minuti possono fare la differenza tra un furto qualunque ed un Data Breach.
2. Controllo Remoto e Disattivazione Remota: Utilizzare le funzionalità di controllo e disattivazione remota del dispositivo per impedire l’accesso non autorizzato ai dati sensibili. Questo può essere fatto tramite software di gestione dei dispositivi mobili o servizi di sicurezza informatica avanzati, garantendo la protezione dei dati scolastici anche in caso di furto o smarrimento del dispositivo.
3. Cambio delle Password: Cambiare immediatamente le password di tutti i servizi e account scolastici a cui il dispositivo aveva accesso. Questo passaggio è essenziale per proteggere ulteriormente i dati sensibili e prevenire l’accesso non autorizzato.
4. Analisi dei Rischi e delle Potenziali Violazioni: Condurre un’analisi dei rischi per valutare l’entità del danno potenziale e identificare le informazioni sensibili che potrebbero essere compromesse. Inoltre, è importante valutare se l’incidente costituisca una violazione dei dati e se sia necessario notificarlo alle autorità competenti in conformità con le normative sulla protezione dei dati, come previsto dall’art. 33 del GDPR.
5. Collaborazione con le Autorità Competenti: Collaborare strettamente con le autorità competenti durante le indagini sul furto o lo smarrimento del dispositivo. Questo può facilitare il recupero del dispositivo e l’identificazione dei responsabili, contribuendo così a ridurre ulteriormente i rischi per la sicurezza dei dati.
6. Comunicazione Interna ed Esterna: Mantenere una comunicazione trasparente con il personale, i docenti e gli studenti riguardo all’incidente di furto o smarrimento. Fornire informazioni dettagliate sulle azioni intraprese per proteggere i dati scolastici e mitigare i rischi può contribuire a mantenere la fiducia e la trasparenza all’interno della scuola.

Cambio delle Password

Spesso questo aspetto viene sottovalutato, le password da cambiare, soprattutto in caso di mancanza di cifratura hardware, sono tutte le password che il dispositivo tiene salvate.
Vanno cambiate:

• La password dell’account principale e di dominio
• La password dell’account di posta del comodatario
• Le password ed i certificati di eventuali VPN
• Le password salvate all’interno dei Browser, spesso questo aspetto viene tralasciato, ma laccesso alle cartelle del disco anche senza conoscere la password dell’account permette di copiare tutte le password salvate nei browser

Controllo Remoto e Disattivazione

Spesso i software di gestione possiedono controlli aggiuntivi disattivati perchè violerebbero la protezione dei dati del comodatario, come il tracciamento in tempo reale continuo. In caso di furto del dispositivo è possibile attivare questi controlli aggiuntivi per ritrovarlo!

Quando segnalare il Data Breach al Garante per la protezione dei dati personali?

Il furto di un dispositivo in comodato d’uso può richiedere la notifica di violazione al Garante nel caso in cui il furto comporti un rischio elevato per i diritti e le libertà delle persone fisiche.

Quando non è richiesta la notifica

• Quando il dispositivo è dotato di crittografia hardware del disco con una password di accesso al sistema operativo complessa.

Anche se non è richiesta la notifica al Garante è comunque necessario documentare la violazione e li misure adottate per affrontarla in conformità con i requisiti del GDPR.

Quando è richiesta la notifica

• Quando all’interno del dispositivo, senza crittografia, sono conservati dati personali o si è mai fatto l’accesso ad un portale con al suo interno i dati personali di altri utenti.

Anche se c’è solo la foto di una carta d’identità di un’altra persona è richiesta la notifica al Garante. In tutti gli altri casi la notifica al Garante deve essere valutata insieme al proprio DPO.

 

Quadro Normativo

Codice Civile Italiano (Articolo 1804)

L’articolo 1804 del Codice Civile italiano stabilisce gli obblighi del comodatario (colui che riceve il bene in prestito) nei confronti del comodante (colui che concede il bene in prestito). In particolare, il comodatario è tenuto a custodire e conservare il bene con la diligenza del buon padre di famiglia e a usarlo conformemente a quanto stabilito nel contratto di comodato o alla natura del bene stesso. Di seguito, esploreremo in dettaglio le responsabilità del comodatario e del comodante, arricchendo l’analisi con esempi pratici e riferimenti a casi legali.

Responsabilità del Comodatario

1. Custodia e Conservazione
   • Obbligo: Il comodatario deve custodire e conservare il bene con la diligenza del buon padre di famiglia.
   • Esempio Pratico: Un dipendente che riceve un laptop aziendale in comodato d’uso deve assicurarsi di proteggerlo da furti e danni. Ad esempio, non deve lasciarlo incustodito in luoghi pubblici o esporlo a condizioni che potrebbero danneggiarlo, come temperature estreme o umidità.
2. Uso Conforme al Contratto
   • Obbligo: Il comodatario deve utilizzare il bene solo per gli scopi specificati nel contratto di comodato o per quelli derivanti dalla natura del bene stesso.
   • Esempio Pratico: Se il contratto di comodato stabilisce che il laptop aziendale deve essere utilizzato solo per scopi lavorativi, il dipendente non può utilizzarlo per attività personali, come scaricare software non autorizzati o accedere a siti web non sicuri.
3. Divieto di Concessione a Terzi
   • Obbligo: Il comodatario non può concedere l’uso del bene a terzi senza il consenso del comodante.
   • Esempio Pratico: Un dipendente non può prestare il laptop aziendale a un collega o a un amico senza l’autorizzazione dell’azienda. In caso contrario, potrebbe essere ritenuto responsabile per eventuali danni o perdite subite dal dispositivo durante l’uso da parte di terzi.
4. Restituzione del Bene
   • Obbligo: Il comodatario deve restituire il bene al comodante al termine del periodo di comodato o in caso di richiesta di restituzione anticipata.
   • Esempio Pratico: Al termine del rapporto di lavoro, il dipendente deve restituire il laptop aziendale. Se il dipendente cambia ruolo all’interno dell’azienda e non necessita più del dispositivo, deve restituirlo anche prima del termine del comodato.

Responsabilità del Comodante

1. Consegna del Bene in Buone Condizioni
   • Obbligo: Il comodante deve consegnare il bene in buone condizioni, idoneo all’uso previsto.
   • Esempio Pratico: L’azienda deve fornire un laptop funzionante, con tutti i software necessari installati e in buone condizioni operative. Se il dispositivo presenta difetti o malfunzionamenti, l’azienda deve provvedere alle riparazioni necessarie prima della consegna.
2. Manutenzione Straordinaria
   • Obbligo: Il comodante è responsabile per le riparazioni straordinarie necessarie per mantenere il bene idoneo all’uso.
   • Esempio Pratico: Se il laptop aziendale necessita di una riparazione significativa, come la sostituzione della scheda madre, l’azienda deve coprire i costi della riparazione. Tuttavia, il comodatario è responsabile per la manutenzione ordinaria, come la pulizia del dispositivo e la gestione degli aggiornamenti software.

Casi di Giurisprudenza

1. Cass. Civ., Sez. III, 20/01/2005, n. 1069
   • Caso: In questo caso, la Corte di Cassazione ha stabilito che il comodatario è responsabile per i danni al bene in comodato se non riesce a dimostrare di aver adottato tutte le misure necessarie per prevenirli.
   • Dettagli: Un comodatario aveva ricevuto in prestito un’automobile, che è stata danneggiata in un incidente. La Corte ha ritenuto il comodatario responsabile perché non aveva adottato tutte le precauzioni necessarie per evitare il danno.
2. Cass. Civ., Sez. III, 05/03/1998, n. 2471
   • Caso: La Corte di Cassazione ha stabilito che il comodante può richiedere la restituzione del bene in comodato anche prima della scadenza del termine, se il comodatario utilizza il bene in modo non conforme agli accordi.
   • Dettagli: Un comodante aveva concesso in comodato un appartamento per uso abitativo, ma il comodatario lo aveva utilizzato come ufficio. La Corte ha deciso che il comodante aveva il diritto di richiedere la restituzione immediata del bene.

Regolamento Generale sulla Protezione dei Dati (GDPR)

Il GDPR (Regolamento Generale sulla Protezione dei Dati) è una normativa europea che stabilisce le linee guida per la protezione dei dati personali dei cittadini dell’UE. Due degli articoli fondamentali per la sicurezza dei dati sono l’articolo 32, che riguarda la sicurezza del trattamento, e l’articolo 33, che disciplina la notifica delle violazioni dei dati personali. Di seguito esploreremo in dettaglio questi articoli, le misure tecniche e organizzative richieste, e forniremo esempi pratici e casi di violazioni per illustrare l’importanza della conformità.

Articolo 32: Sicurezza del Trattamento

L’articolo 32 del GDPR impone alle aziende di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Questo include la protezione dei dati personali da distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato.

Misure Tecniche e Organizzative Specifiche

1. Crittografia dei Dati
   • Descrizione: La crittografia trasforma i dati in un formato illeggibile per chiunque non possieda la chiave di decrittazione. Questo garantisce che i dati siano inaccessibili anche in caso di accesso non autorizzato.
   • Esempio Pratico: Utilizzare software di crittografia per proteggere i dati memorizzati sui dispositivi aziendali, come laptop e smartphone. La crittografia del disco rigido è una pratica comune per proteggere i dati sensibili.
2. Controllo degli Accessi
   • Descrizione: Implementare misure che garantiscano che solo il personale autorizzato possa accedere ai dati personali.
   • Esempio Pratico: Utilizzare autenticazione multifattore (MFA) per l’accesso ai sistemi aziendali. Questo richiede che gli utenti confermino la loro identità attraverso due o più metodi di autenticazione indipendenti.
3. Pseudonimizzazione
   • Descrizione: La pseudonimizzazione è una tecnica che sostituisce i dati identificativi con pseudonimi, rendendo più difficile l’identificazione delle persone a cui i dati si riferiscono.
   • Esempio Pratico: In un database di clienti, sostituire i nomi e gli indirizzi con codici univoci che solo l’azienda può riconoscere.
4. Misure di Resilienza
   • Descrizione: Garantire la capacità di ripristinare rapidamente l’accesso e la disponibilità dei dati personali in caso di incidente fisico o tecnico.
   • Esempio Pratico: Implementare piani di disaster recovery e backup regolari dei dati per garantire che le informazioni possano essere recuperate in caso di perdita o danneggiamento.
5. Test e Valutazione
   • Descrizione: Condurre regolarmente test e valutazioni delle misure di sicurezza per garantire la loro efficacia.
   • Esempio Pratico: Eseguire audit di sicurezza periodici e test di penetrazione per identificare e correggere le vulnerabilità nei sistemi aziendali.

Articolo 33: Notifica di una Violazione dei Dati Personali

L’articolo 33 del GDPR stabilisce che in caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche.

Procedure di Notifica

1. Valutazione del Rischio
   • Descrizione: Determinare la probabilità e la gravità del rischio per i diritti e le libertà delle persone fisiche derivanti dalla violazione.
   • Esempio Pratico: Valutare se i dati compromessi includono informazioni sensibili come dati finanziari o sanitari che potrebbero causare danni significativi agli individui.
2. Contenuto della Notifica
   • Descrizione: La notifica all’autorità di controllo deve contenere informazioni dettagliate sulla violazione, incluse le categorie e il numero approssimativo di interessati e di record di dati personali coinvolti, le conseguenze probabili della violazione e le misure adottate o proposte per porre rimedio alla violazione.
   • Esempio Pratico: Se un laptop aziendale contenente dati personali viene rubato, la notifica dovrebbe includere informazioni su quanti record di dati personali erano memorizzati sul dispositivo, la natura dei dati e le misure di sicurezza implementate, come la crittografia.
3. Comunicazione agli Interessati
   • Descrizione: Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare la violazione agli interessati senza ingiustificato ritardo.
   • Esempio Pratico: Informare direttamente i dipendenti e i clienti se i loro dati personali sono stati compromessi in seguito al furto di un dispositivo, fornendo indicazioni su come proteggersi ulteriormente, come il cambio delle password.

Fonti e Casi di Violazioni GDPR

L’EDPB fornisce linee guida dettagliate sulle misure di sicurezza e sulla notifica delle violazioni dei dati, che aiutano le aziende a comprendere meglio i requisiti del GDPR. Le linee guida includono esempi pratici e best practice per l’implementazione delle misure di sicurezza.

Nel contesto del GDPR, diversi casi di furto o smarrimento di dispositivi hanno portato a significative sanzioni per le aziende coinvolte. Questi casi mettono in evidenza l’importanza di adottare misure di sicurezza appropriate per proteggere i dati personali memorizzati su dispositivi aziendali. Di seguito sono riportati alcuni esempi specifici:

1. Telecoms Company (Regno Unito) – 2020

• Descrizione: Un laptop contenente dati personali di circa 28.000 dipendenti è stato rubato da un veicolo aziendale.
• Dettagli: Il laptop non era protetto da crittografia, e le informazioni contenute includevano dati personali sensibili come numeri di previdenza sociale e dettagli di contatto.
• Sanzione: L’Information Commissioner’s Office (ICO) ha inflitto una multa di 500.000 sterline per la mancanza di misure di sicurezza adeguate per proteggere i dati personali.
• Lezione Appresa: È fondamentale implementare la crittografia dei dati su tutti i dispositivi mobili e assicurarsi che i dipendenti comprendano l’importanza della sicurezza dei dispositivi.

2. Hospital in Portugal – 2018

• Descrizione: Un dispositivo USB contenente dati personali dei pazienti è stato smarrito da un dipendente dell’ospedale.
• Dettagli: Il dispositivo non era protetto da crittografia e conteneva informazioni mediche sensibili di migliaia di pazienti.
• Sanzione: La CNPD (Commissione Nazionale per la Protezione dei Dati) ha inflitto una multa di 400.000 euro all’ospedale per non aver adottato misure di sicurezza appropriate per proteggere i dati sensibili.
• Lezione Appresa: L’uso di dispositivi di archiviazione portatili deve essere rigorosamente controllato e tutti i dati sensibili devono essere crittografati.

3. Insurance Company (Spagna) – 2019

• Descrizione: Un dipendente ha smarrito un laptop contenente dati personali di clienti durante un viaggio di lavoro.
• Dettagli: Il laptop non era crittografato e conteneva informazioni finanziarie e di contatto di centinaia di clienti.
• Sanzione: L’AEPD (Agenzia Spagnola per la Protezione dei Dati) ha inflitto una multa di 250.000 euro all’azienda per non aver implementato misure di sicurezza sufficienti.
• Lezione Appresa: Le aziende devono garantire che i dispositivi mobili utilizzati dai dipendenti siano protetti da crittografia e altre misure di sicurezza.

4. Retailer (Germania) – 2020

• Descrizione: Un dipendente ha smarrito un tablet aziendale contenente dati personali di clienti durante un viaggio.
• Dettagli: Il tablet non era protetto da password o crittografia, e i dati includevano informazioni di contatto e storici di acquisto.
• Sanzione: Il BfDI (Commissario Federale per la Protezione dei Dati e la Libertà di Informazione) ha inflitto una multa di 300.000 euro per la mancanza di misure di sicurezza adeguate.
• Lezione Appresa: È essenziale utilizzare metodi di autenticazione robusti e crittografia per proteggere i dati memorizzati su dispositivi mobili.