Negli ultimi due giorni, l’UK Commission’s Office (ICO) ha emesso (potenziali) ammende GDPR di 183,39 milioni di sterline e 99,2 milioni di sterline inglesi nei confronti di British Airways (BA) e Marriott International Inc.. Queste sono le prime multe che saranno emesse dall’ICO sotto il GDPR e le maggiori ammende emesse da un’Autorità europea per la protezione dei dati (DPA) fino ad oggi. Poiché le ammende sono state inflitte a persone fisiche in più Stati membri, si applicano le disposizioni dello “sportello unico” del GDPR e pertanto l’ICO è stato tenuto a collaborare con altre autorità di protezione dei dati dell’UE.
Le ammende evidenziano l’importanza delle società che assicurano che siano in atto robuste misure di sicurezza per proteggere i dati personali e intraprendere un’adeguata due diligence nelle fusioni ed acquisizioni aziendali.
La volontà dell’ILO di multare BA e Marriott è stata resa pubblica in risposta ad un annuncio da parte di BA alla Borsa di Londra e ad un deposito di Marriott presso la Securities and Exchange Commission degli Stati Uniti, secondo cui l’ICO intendeva sanzionarle per violazioni della Legge sulla protezione dei dati.
La sanzione di 183,39 milioni di Sterline che l’ICO propone di imporre a BA riguarda un incidente che si ritiene abbia avuto inizio nel giugno 2018, ed è stato segnalato da BA all’ICO nel settembre 2018: l’incidente ha diretto il traffico degli utenti verso il sito web della BA ad un sito fraudolento. Attraverso questo sito falso, i dettagli dei clienti sono stati raccolti dagli hacker, di conseguenza, sono stati compromessi i dati personali, inclusi nomi e indirizzi, nonché il login, la carta di pagamento e i dettagli della prenotazione di viaggio di circa 500.000 clienti. L’ammenda dell’ICO è stata imposta in conseguenza della presunta incapacità di BA di attuare misure di sicurezza adeguate a proteggere i dati personali dei suoi clienti. L’ammenda costituisce l’1,5% del fatturato mondiale di BA per il 2017.
La multa di £ 99,2 che l’ICO propone di imporre a Marriott si riferisce ad un incidente informatico che è stato notificato da Marriott all’ICO nel novembre 2018. La violazione dei dati personali ha coinvolto circa 339 milioni di utenti a livello mondiale, di cui circa 30 milioni relativi a residenti di 31 paesi nel SEE. Si ritiene che la violazione sia iniziata nel 2014, quando il database delle prenotazioni degli ospiti del gruppo Starwood Hotels è stato compromesso. Marriott ha successivamente acquisito Starwood nel 2016, ma l’esposizione delle informazioni sui clienti non è stata scoperta fino al 2018. L’ICO ritiene che Marriott non abbia agito secondo due diligence quando ha acquisito Starwood e avrebbe dovuto fare di più per proteggere i suoi sistemi. Queste multe dimostrano che l’ICO sta prendendo una forte posizione contro le aziende che non riescono ad attuare misure di sicurezza appropriate per proteggere i dati personali dei clienti, ed è pronta ad emettere sanzioni sostanziali laddove necessario. Tuttavia, è interessante notare che la relazione annuale dell’ICO di marzo 2018-2019, indica che nell’82% delle violazioni dei dati personali valutate e chiuse lo scorso anno, l’ICO ha stabilito che non erano necessarie ulteriori azioni, sulla base del fatto che l’organizzazione aveva adottato misure appropriate o stava adottando misure per indirizzare la violazione.
BA e Marriott hanno, ora, l’opportunità di presentare all’Ico delle dichiarazioni sull’imposizione di queste potenziali multe. L’ICO terrà conto anche delle dichiarazioni di altri DPA dell’UE interessati i cui residenti sono stati vittime della violazione, prima di prendere la decisione finale sul livello di ammenda da infliggere. Sia BA che Marriott hanno annunciato la loro intenzione di rispondere all’ICO e di difendere “vigorosamente” la loro posizione.
Be the first to comment