L’ICO commina sanzioni record per data breach

L’Information Commissioner’s Office (ICO), garante per la protezione dei dati personali inglese, ha notificato alla società British Airways l’avviso di sanzione pari a 183,39 milioni di sterline (pari a circa 205,85 milioni di euro), corrispondente all’1,5% del fatturato dell’azienda nel 2017. Il provvedimento fa seguito ad un data breach del giugno 2018, notificato all’autorità nel settembre dello stesso anno, che ha coinvolto circa 500.000 utenti del sito internet della società. A giudizio dell’autorità, l’incidente è stato causato dalla debolezza delle misure di sicurezza poste in essere da British Airways.

Con il secondo provvedimento in esame, l’ICO ha notificato alla Marriott International Inc. l’avviso di una sanzione pari a 99,2 milioni di sterline (pari a circa 111,4 milioni di euro). Anche tale provvedimento fa seguito alla segnalazione di un data breach risalente al novembre 2018. Gli utenti coinvolti sono pari a circa 339 milioni, dei quali 30 milioni risiedono nello Spazio Economico Europeo e 7 milioni nel solo Regno Unito.

Degno di nota è il seguente passaggio dell’ICO, in cui viene chiarito come i dati personali e le misure di sicurezza implementate per la loro protezione, essendo assett aziendali a tutti gli effetti, devono essere oggetto di due diligence in sede di operazioni straordinarie e sono dunque suscettibili di condizionare, anche significativamente, il valore del deal: “The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected”.

Ricordiamo, infine, che i provvedimenti qui riportati sono stati assunti dall’ICO in qualità di “autorità di controllo capofila” ai sensi dell’art. 56 GDPR e che gli importi indicati negli stessi non sono definitivi in quanto entrambe le compagnie potranno proporre le proprie osservazioni nel termine di 21 giorni.

Riportiamo qui i link ai comunicati dell’ICO relativi a British Airways e Marriott International Inc.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *