NEWS

Violazione del Gdpr, maxi sanzione da 110 milioni di euro per Marriott

L'Authority britannica (ICO) che sovrintende all'applicazione del GDPR ha evidentemente cominciato a fare sul serio. Dopo una multa a British Airways è in arrivo una maxi sanzione anche per la catena alberghiera Marriott International. La sanzione è di circa cento milioni di sterline, pari a poco più di 110 milioni di euro.

La vicenda che ha portato alla sanzione risale alla fine dell'anno scorso. Allora le indagini su una violazione dei sistemi di prenotazione Starwood mostrarono che la rete era stata violata da anni. Si suppone che hacker ostili abbiano penetrato la rete già nel 2014. Nel 2016 Starwood è entrata in Marriott, ma i sistemi IT sono rimasti in buona parte separati. Nella fase di due diligence pre-acquisizione, nessuno evidentemente si è accorto della violazione in corso.

Dal 2014 in poi, gli hacker ostili hanno sottratto informazioni personali relative a circa 340 milioni di clienti Starwood-Marriott. Le informazioni sono state poi trovate sul Dark Web ed è stato confermato che riguardavano appunto clienti Starwood. Circa un decimo delle persone coinvolte nel caso sono europee, da qui la violazione (anche) del GDPR.
La violazione non è legata solo alla perdita dei dati, che da un punto di vista teorico riguarderebbe solo Starwood. ICO spiega infatti che tra gli obblighi previsti dal GDPR c'è eseguire una adeguata due diligence, in caso di acquisizione. Cosa che Marriott evidentemente non ha fatto.

Come British Airways, anche Marriott potrà presentare le sue osservazioni alla decisione di ICO. Queste osservazioni potrebbero portare a una sanzione meno impegnativa. Cosa che però non è affatto scontata.

Le sanzioni di questi giorni indicano che si comincia ad abbandonare l'approccio "morbido" all'applicazione del GDPR seguito sinora. Le Authority nazionali stanno considerando con più attenzione le violazioni, anche internazionali. Da qui le multe "corpose" che sono poi sempre state considerate il principale deterrente della normativa.

È un segnale per le aziende di qualsiasi dimensione, non solo per le grandi come Marriott o BA. Le Authority considerano che le imprese abbiano avuto tutto il tempo per adeguarsi al GDPR. E che ora eventuali multe possano essere comminate senza particolari attenuanti.

Fonte: Impresa City

Note sull'autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.it 

Prev Comunicazioni elettroniche, 5G, fibra, concorrenza e diritti degli utenti, nuovo libro di Fulvio Sarzana con il patrocinio di Federprivacy

Domenico Laforenza, presidente del CNR di Pisa, al 7° Privacy Day Forum

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo