NEWS

30/07/2019

Violazioni della privacy: l'information commissioner's office non perdona

(e anche la Federal Trade Commission gioca pesante...)

di Chiara Giannella e Dafne Chillemi

A distanza di poco più di un anno dall’entrata in vigore del Regolamento UE 2016/679 sulla protezione dei dati personali - comunemente indicato con l’acronimo “GDPR” - si iniziano a tirare le somme circa la corretta implementazione delle nuove disposizioni da parte dei soggetti in capo ai quali le stesse sono imposte.

Le autorità di controllo degli Stati membri hanno avviato le attività ispettive e con esse sono cadute le prime “teste”: a cominciare dal colosso Google che nel gennaio 2019 si è visto recapitare una sanzione da ben 50 milioni di euro da parte dall’autorità garante francese per violazione delle norme del GDPR[1].

Più recentemente, in data 8 luglio 2019, l’Information Commissioner’s Office (“ICO”), l’autorità britannica deputata al controllo dell’applicazione della normativa in materia di data protection, ha annunciato l’applicazione di una sanzione pari a 183 milioni di sterline nei confronti di British Airways[2]. A scatenare l’“ira funesta” dell’ICO è stato un evento di data breach subito dalla compagnia aerea anglosassone nel giugno 2018 e scoperto solo nel successivo mese di settembre, allorquando emerse che un gruppo di hackers aveva  elaborato un meccanismo attraverso il quale gli utenti del sito ufficiale British Airways venivano “dirottati” su di una pagina fraudolenta che consentiva ai cyber criminali di “collezionare” tutti i dati personali degli ignari aspiranti viaggiatori e, in particolare, oltre alle informazioni di contatto, anche quelle collegate al metodo di pagamento utilizzato, quali il numero, la data di scadenza ed il codice di sicurezza della carta di credito[3].

L’investigazione è stata avviata seguendo la procedura di cui all’articolo 56, GDPR, secondo il principio del c.d. “one-stop-shop” per il quale l'autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento è competente ad agire in qualità di capofila[4]. L’ICO ha valutato positivamente la collaborazione che British Airways ha fornito in sede di verifica e l’impegno nell’attivarsi immediatamente al fine di comprendere la reale portata dell’evento, notificando la violazione all’autorità nei tempi previsti dall’articolo 33, GDPR  (i.e.: 72 ore dalla relativa scoperta), e specificando che ad essere colpiti sarebbero stati i dati personali di circa 380.000 passeggeri[5].



[1] In particolare per il trattamento di dati personali degli utenti in assenza di una valida base giuridica. Per approfondimenti: A. Lensi Orlandi, F. Caloprisco, “Il caso Google: alcune note alla decisione della Cnil”, in Privacy&, 1/2019, p.33; “Google, multa da 50 milioni in Francia per violazione del Gdpr”, Il Sole 24Ore, sezione Mondo, 21 gennaio 2019.

[2]  Corrispondenti a circa 204 milioni di euro e pari a circa l’1,5% del fatturato annuo globale della società. “Intention to fine British Airways £183.39m under GDPR for data breachhttps://ico.org.uk/about-the-ico/, 8 July 2019.

[3] “British Airways, multa da oltre 200 milioni per l’attacco hacker con furto dei dati delle carte di credito”, la Repubblica, Sezione Economia e Finanza, 8 luglio 2019.

[4]Data breach del 2018 costa a British Airways una multa da 204 milioni”, https://www.privacy.it/2019/07/08/data-breach-british-airways-multa/8 luglio 2019.

[5] Il numero dei passeggeri è poi stato accertato in 500.000 secondo quanto emerso a conclusione del procedimento istruttorio.

violazione privacy