È tempo di sanzioni in materia di protezione dei dati personali. Dopo un primo periodo di assestamento sia da parte delle autorità che delle imprese, le autorità di controllo degli Stati membri UE hanno iniziato ad emettere i primi provvedimenti sanzionatori ai sensi del Regolamento 2016/679/UE (“GDPR”).
Oltre al provvedimento emesso di recente dal CNIL, proponiamo di seguito una breve rassegna dei principali casi più interessanti emersi nell’ultimo periodo. Diciamo subito che l’interesse è legato dal minimo comune denominatore di essere casi tutti incentrati sul tema delle misure tecniche e organizzative di sicurezza.
ICO: Intention to fine British Airways
Lo scorso 8 luglio l’ICO (Information Commissioner’s Office – Autorità di Controllo del Regno Unito) ha pubblicato sul proprio sito internet una dichiarazione con cui ha comunicato la propria intenzione di irrogare una sanzione amministrativa di 183,39 milioni di sterline nei confronti della società British Airways: una somma pari ben all’1,5% del fatturato di British Airways e per ciò stesso meritevole di menzione, sebbene non si sappia se tale somma coinciderà con l’ammenda che verrà infine comminata.
L’iniziativa dell’ICO è nata da un evento di data breach notificato a settembre 2018. Un attacco informatico posto in essere da alcuni hacker che, sfruttando illecitamente il traffico degli utenti del sito internet di British Airways, dirottavano gli stessi utenti su un sito fraudolento attraverso il quale sarebbero stati raccolti dati personali riferiti a circa 500.000 clienti (tra cui in gran parte numeri di carte di credito).
L’ICO ha, quindi, contestato l’inadeguatezza del livello di protezione dei sistemi informatici posti a presidio del sito internet della compagnia aerea, aspetto considerato cruciale per la protezione effettiva dei diritti fondamentali degli interessati.
Merita sottolineare anche che la stessa ICO ha valorizzato la collaborazione prestata da parte di British Airways nei mesi successivi al data breach per quanto riguarda le indagini dell’autorità, nonché l’attivazione per migliorare la sicurezza dei propri sistemi informatici.
ICO: Intention to fine Marriott International Inc.
Sempre ICO Sempre misure di sicurezza informatiche carenti. Prima volta responsabilità per fatto altrui a causa di una negligente due diligence. Lo scorso 9 luglio l’Autorità di Controllo del Regno Unito ha pubblicato sul proprio sito internet una dichiarazione nella quale ha rivelato la propria intenzione di irrogare una sanzione di circa 100 milioni di sterline alla società Marriott International Inc. Ancora una volta, l’iniziativa dell’ICO trae origine da un evento di data breach avvenuto a novembre 2018 e notificato dalla stessa Marriott all’ICO. Si è trattato, come nel caso di British Airways, di un attacco informatico. Nello specifico, il sistema di sicurezza del database dedicato alle prenotazioni della catena di hotel Starwood – poi acquisita da Marriott – sarebbe stata violato da alcuni hacker, i quali avrebbero così avuto accesso a circa 339 milioni di dati relativi a prenotazioni, di cui circa 30 milioni riferiti a soggetti residenti in 31 paesi dello Spazio Economico Europeo (“SEE”).
A seguito del data breach l’ICO ha avviato un’indagine dalla quale è emerso che la sicurezza dei sistemi del database sarebbe stata compromessa almeno dal 2014 ma che Marriott, dopo aver acquisito Starwood nel 2016, ne sarebbe giunta a conoscenza soltanto nel 2018, disvelando così una rilevante negligenza da parte di Marriott nello svolgimento delle operazioni di due diligence preliminari all’acquisto della catena Starwood. Come ha ricordato l’Information Commissioner Elizabeth Denham, infatti: “The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition, and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected”.
Pure in questo caso, l’ICO ha riconosciuto (e sicuramente se ne terrà conto in fase di decisione sulla sanzione) come Marriott, nei mesi successivi al data breach, abbia collaborato alle indagini e si sia concretamente attivata per migliorare la sicurezza dei propri sistemi informatici. Incidentalmente, vale a nostro avviso una ulteriore riflessione, legata specificamente al caso de quo: se e in che termini una sanzione di questo ammontare, eziologicamente ricondotta dall’autorità ad una scorretta/negligente due diligence potrà ricadere sugli studi legali e sugli advisor che hanno assistito Marriott nell’operazione corporate? Profili assicurativi a parte, la domanda merita a nostro avviso una riflessione anche solo dal punto di vista professionale e sarà interessante seguirne gli eventuali sviluppi
Olanda: l’Autoriteit Persoonsgegevens emette la prima sanzione nei confronti di un ospedale
Lo scorso 16 luglio l’AP (Autoriteit Persoonsgegevens – Autorità di Controllo dei Paesi Bassi) ha irrogato la prima sanzione in materia di protezione dei dati personali da quando il GDPR è applicabile.
A subire la sanzione l’ospedale The Haga de L’Aja, condannato per non aver garantito un sufficiente livello di protezione alle cartelle cliniche dei pazienti dell’ospedale. Anche in questo caso, quindi, alla base della decisione dell’AP vi sono le misure di sicurezza tecnico-organizzative. Tutto è nato a seguito della denuncia di un noto personaggio televisivo olandese, il quale ha proposto un ricorso innanzi all’AP in quanto decine di operatori della struttura ospedaliera avevano avuto accesso alla sua cartella clinica pur non essendo autorizzati a ciò.
Ne sono emerse delle falle generali nel livello di protezione dei dati personali garantita dal The Haga, che hanno portato ad una sanzione pecuniaria di 460.000 euro. L’AP ha, inoltre, concesso termine all’ospedale per migliorare i propri sistemi di sicurezza – sia informatici che organizzativi – entro il 2 ottobre 2019. In caso di nuova trasgressione, il The Haga subirà una sanzione di 100.000 euro a settimana, sino ad un massimo di 300.000 euro.
di Natalia Jurisch