N. Ottobre 2019
a cura di Elena Vaciago
Associate Research Manager, The Innovation Group
Se a distanza di 1 anno dall’avvio del GDPR, ossia lo scorso giugno 2019, le sanzioni totali commutate in Europa arrivavano a 56 milioni di euro (per un totale di circa 60 provvedimenti), con le 2 multe proposte a luglio dell’autorità inglese per la data protection (ICO UK), pari rispettivamente a 204,6 milioni e 110 milioni (alla compagnia aerea British Airways e alla catena alberghiera Marriott), il conto totale è presto salito.
Considerando che anche la Francia non è stata da meno, con la sanzione da 50 milioni di euro a Google per varie irregolarità rispetto ai requisiti del GDPR (poca trasparenza, informazioni insufficienti, consenso ottenuto senza basi legali), siamo oggi arrivati a un “paniere” totale di sanzioni note (in parte definitive, in parte no) che supera i 370 milioni di euro per un totale di oltre 70 multe.
(Fonte: GDPR One Year Anniversary – iapp Infographic)
Analizzando le motivazioni che hanno portato le autorità europee a stabilire queste multe – con importi molto maggiori rispetto a quelli cui eravamo abituati – al primo posto, associato soprattutto a sanzioni di importo elevato, il mancato rispetto dell’articolo 32 del GDPR, sulla “Sicurezza del trattamento”, secondo il quale “il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Ad esempio, è stato citato proprio l’articolo 32 nelle due mega-sanzioni da centinaia di milioni di euro rivolte a BA e Marriott: nel primo caso, la compagnia aerea aveva notificato nel 2018 di aver subito, a partire da giugno, un incidente cyber con perdita di dati personali per 500mila clienti. Questi venivano dirottati dal sito di BA di prenotazioni dei voli a un sito fraudolento, dove erano rubate informazioni chiave come nomi, indirizzi, credenziali di accesso al sito, numeri di carte di pagamento, dettagli relativi ai viaggi. L’ICO, dopo lunga investigazione, aveva individuato scarse misure di sicurezza adottate dalla compagnia. Come aveva dichiarato ai tempi l’Information Commissioner Elizabeth Denham “People’s personal data is just that – personal. When an organisation fails to protect it from loss, damage or theft it is more than an inconvenience. That’s why the law is clear – when you are entrusted with personal data you must look after it. Those that don’t will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights.”
Anche nel caso della catena alberghiera Marriott, la multa proposta dall’ICO è relativa a un incidente avvenuto nel novembre 2018, con circa 339 milioni di record di clienti esposti a livello globale, e di questi 30 milioni relativi a persone residenti in 31 paesi dell’area europea (7 milioni per residenti UK). Dall’investigazione è emerso in questo caso che l’infiltrazione degli hacker risaliva al 2014, quanto erano stati compromessi i sistemi del gruppo Starwood (comprato da Marriott nel 2016). Secondo l’ICO UK, il processo di due diligence gestito da Marriott per l’acquisizione non aveva tenuto in sufficiente considerazione lo stato di sicurezza delle infrastrutture informatiche.
Guardando invece ad altre sanzioni decise negli ultimi mesi dalle autorità per la Data Protection europee (un elenco costantemente aggiornato è sul sito GDPR Enforcement Tracker), altri articoli spesso citati per motivare le sanzioni (come riportato nella figura sotto) sono:
- Articolo 5 del GDPR: Principi applicabili al trattamento di dati personali
- Articolo 6: Liceità del trattamento
- Articoli 12, 13 e 14: Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato; Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato; Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato.
(Fonte: Elaborazione TIG a settembre 2019 su dati GDPR Enforcement Tracker)
Con riferimento invece alla tipologia di aziende che hanno ricevuto la multa, sono praticamente di tutti i settori: enti pubblici, sanità (molti ospedali), Banche, TLC, società commerciali. Nel caso degli ospedali, una motivazione che appare di frequente è il fatto che l’investigazione effettuata dall’autorità nazionale ha messo in luce che il personale dell’ospedale aveva avuto accesso illecito a informazioni sanitarie di particolari persone.
Se quindi fino ad oggi le multe note sono state nei Paesi UE circa 70, molto più alto è invece il numero dei data breach notificati alle Autorità di cui si ha notizia. Una statistica significativa è quella presentata dallo studio legale internazionale DLA Piper, che ha stimato che il numero di notifiche di violazioni di dati personali (data breach), ricevute dai diversi garanti europei, siano state 59.430 nei primi 6 mesi di entrata in vigore del GDPR (tra la fine di maggio 2018 e la fine di gennaio 2019).
Guidano la classifica dei data breach l’Olanda (con circa 15.000 notifiche a febbraio), la Germania (12.600) e il Regno Unito (10.600). Poiché quindi il numero di data breach notificati e pubblici è molto superiore – di svariati ordini di grandezza – rispetto al numero delle sanzioni note, è probabile che per i Garanti europei ci sia oggi molto lavoro da smaltire, e che molte aziende ed organizzazioni stiano ancora aspettando di sapere se saranno multate o no, e di quanto.
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!