GDPR e Sanzioni privacy: misure di sicurezza e data breach



Le violazioni di dati personali (data breach) consistono in eventi che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Un data breach può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Sicurezza del trattamento dati volto ad evitare violazione dei dati

Affinché un trattamento dei dati personali possa svolgersi in maniera sicura, è necessario che il titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo ovviamente conto delle circostanze indicate dal Regolamento Privacy UE 2016/679 (GDPR). Una mancata vigilanza su tale aspetto può comportare importanti sanzioni secondo il regolamento europeo per la protezione dei dati. L’attenzione al rispetto dei requisiti privacy dei sistemi di sicurezza deve tuttavia essere focalizzata non soltanto durante l’ordinaria vita aziendale ma anche in situazioni come la fase d’acquisto o la fusione societaria (M&A).
Per tale motivo nelle operazioni di M&A si deve avere la consapevolezza che non andranno sottoposti a due diligence (valutazione e investigazione di informazioni relative all’oggetto di una trattativa) solo gli aspetti prettamente fiscali e legali ma anche quelli legati alla sicurezza dei sistemi.
La valutazione a monte dell’operazione societaria viene oggigiorno valutata fondamentale dalle Autorità Garanti per la protezione dei dati. La mancata analisi delle procedure privacy, dei registri di attività di trattamento, dei risk assessment svolti e più in generale delle politiche di sicurezza delle informazioni e dei sistemi, potrebbe infatti rivelarsi pericolosa per ciò che attiene ad eventuali sanzioni.

Il caso Marriott e la sanzione comminata dall’I.C.O.

Il 30 ottobre 2020 l’Autorità Garante Privacy inglese (I.C.O.) ha inflitto a Marriott (nota catena alberghiera) una sanzione di circa 20 milioni di euro (18 milioni di sterline) per il data breach che comportò la violazione dei dati di oltre 339 milioni di clienti in tutto il mondo. L’ I.C.O., un anno fa circa, aveva avvisato la catena alberghiera Marriott dell’emissione di una sanzione di quasi 110 milioni di euro nello stesso settore. Alla base della sanzione vi erano le risultanze istruttorie dalle quali emergeva che nel 2014 un cyber criminale aveva installato un “web shell” su un dispositivo nel sistema Starwood Hotels and resorts Worldwide Inc., riuscendo a trafugare, con credenziali di privilegio, i dati delle prenotazioni dei clienti Starwood. Tale furto ammontava a dati personali di circa 339 milioni di record di ospiti in tutto il mondo, contenenti nomi, e-mail, numero di telefono, numero di passaporto, e altre informazioni su arrivi/partenze degli ospiti. La società Starwood Hotels and resorts Worldwide Inc era stata acquisita da Marriott International Inc già nel 2016 mentre il data breach era rimasto inosservato sino a settembre 2018.
In seguito all’indagine svolta dall’Autorità I.C.O. emergeva infatti che Marriott non aveva eseguito un’adeguata due diligence per proteggere i propri sistemi e rilevare la violazione che era in corso nel momento dell’acquisizione di Starwood. Marriott, a detta dell’I.C.O., non aveva messo in atto misure tecniche e organizzative appropriate per proteggere i dati personali elaborati sui propri sistemi, come richiesto dal GDPR. L’amministratore delegato di Marriott aveva fin da subito ritenuto di opporsi alla sanzione, ottenendo la sua riduzione.
La sanzione è stata infatti ridotta a circa un quinto, in quanto l’azienda è riuscita a dimostrare che Marriott ha agito rapidamente per contattare i clienti e l’I.C.O.”, sostenendo di aver “agito velocemente per mitigare il rischio di danni ai consumatori”. Inoltre l’Autorità Garante inglese ha tenuto conto del particolare momento storico di difficoltà economica per gli operatori del settore. Non dimentichiamo però il danno d’immagine che ha colpito la catena alberghiera.
Articolo a cura di Alessio Imperia | Legal Compliance Officer, Labor Project.
Se ti è piaciuto l'articolo condividi: