I trasgressori del GDPR e le loro multe
Il 2019 ha dimostrato che l'autorità dell'UE non ha pietà quando si tratta di violazioni del regolamento sulla protezione dei dati DSGVO. Le multe più significative del 2019.
L'autorità di regolamentazione dell'UE ha già imposto numerose multe in relazione al GDPR. Di seguito sono riportati alcuni esempi condivisi da SailPoint e Precise Security:
Caso 1
Nel luglio 2019, British Airways è stata colpita da una multa record di oltre 200 milioni di euro. L'ICO, l'ente britannico per la protezione dei dati, ha sanzionato la compagnia aerea dopo che alcuni criminali sono riusciti a leggere i dati delle carte di credito di circa mezzo milione di clienti.
Caso 2
L'ICO ha inoltre imposto una multa di oltre 110 milioni di euro alla società americana Marriott International. Il motivo è una violazione della sicurezza avvenuta nel novembre 2018, che ha esposto circa 339 milioni di dati di ospiti; di questi, 30 milioni di dati di ospiti riguardavano residenti di 31 paesi europei e altri sette milioni di cittadini britannici.
Caso 3
Anche Google non è al di sopra della legge. Con una multa di 50 milioni, Google si trova al terzo posto tra i peggiori trasgressori di dati del 2019. Le accuse sono state imposte all'azienda statunitense dall'autorità francese per la protezione dei dati CNIL perché Google non ha fornito ai suoi utenti sufficienti informazioni sul consenso alle politiche sui dati. Inoltre, il gigante tecnologico non ha consentito ai suoi clienti un controllo sufficiente sull'uso delle informazioni personali.
Caso 4
Infine, di recente è stata comminata la multa DSGVO più alta di sempre in Germania: L'autorità di protezione dei dati di Berlino ha inflitto al gruppo immobiliare Deutsche Wohnen SE una multa record di 14,5 milioni di euro. Il motivo era che l'azienda conservava i dati personali dei suoi inquilini senza verificare se ciò fosse necessario o legittimo. In questo modo, i dati sensibili sulla situazione personale e finanziaria sarebbero stati conservati per anni. Al momento, la decisione della multa non è ancora giuridicamente vincolante, l'organizzazione può ancora fare ricorso.
Caso 5
I fornitori di Fintech devono soddisfare i più severi requisiti di conformità, poiché memorizzano, trasferiscono ed elaborano dati personali e finanziari sensibili nell'ambito dei loro servizi. Le sanzioni per la violazione di questi requisiti sono altrettanto severe: Nel maggio 2019, l'autorità per la protezione dei dati di Berlino ha inflitto una multa di 50.000 euro a una banca di app (cfr. qui).
Gli esempi possono essere estesi a piacere. (Nota dell'editore: la presunzione di innocenza si applica anche nel caso delle multe del GDPR fino a quando non viene emessa una decisione giudiziaria giuridicamente vincolante).
La conformità viene messa a fuoco
Il fatto è che le aziende devono affrontare la questione della conformità su base continuativa, perché il rispetto di una normativa così complessa non è una questione sporadica, come scrive Volker Sommer di SailPoint, che aggiunge: "Questo include misure sia organizzative che tecniche. Il primo e più importante passo che le aziende devono compiere è quello di condurre una revisione completa della sicurezza e una valutazione dei rischi e di mappare i dati ai proprietari dei dati nel loro ambiente. Il successo della conformità al GDPR richiede che ogni azienda sappia chi sono i suoi utenti, dove si trovano i dati sensibili e controllati dal governo e come si trovano. Una volta contabilizzati i dati e la proprietà, le aziende devono rafforzare i controlli che determinano chi ha o non ha accesso a determinate informazioni. L'accesso ai dati deve essere controllato in base al "minimo privilegio", in modo da consentire l'accesso solo a risorse minime e limitare fortemente quello ai dati sensibili. Questi diritti devono essere rivisti regolarmente.
Fonti: Punto vela, Sicurezza precisa, Kafka Communication Ltd.
