Logo ImpresaCity.it

Francia: 250 mila euro di multa per un data leak

La sanzione è collegata a un evento accaduto prima del "debutto" del GDPR ma ne segue i principi chiave e costituisce un caso significativo

Redazione Impresacity

In Francia il CNIL, che è l'Authority locale per la tutela dei dati personali, ha sanzionato l'azienda Optical Center con una multa di 250 mila euro per una "perdita sostanziale di dati" dovuta a una errata configurazione dei suoi sistemi IT. La sanzione non è direttamente collegata al GDPR perché la perdita dei dati è stata segnalata ben prima del 25 maggio scorso, ma la normativa francese prevedeva già un inasprimento delle sanzioni in linea con i dettami del GDPR.

Optical Center vende online occhiali da vista o da sole con le relative lenti e lenti a contatto, quindi conserva nei suoi sistemi diversi dati dei suoi clienti. Molti sono considerati personali agli effetti delle normative sulla tutela dei dati. In particolare dalle fatture dei prodotti venduti si possono ricavare i dati anagrafici dei clienti e le correzioni diottriche richieste per le lenti, che sono informazioni mediche.

Il data leak che il CNIL ha contestato ad Optical Center derivava da un basso livello di sicurezza del suo sito web. Collegandosi via browser al sito della società era possibile accedere direttamente ai documenti contabili dei clienti semplicemente immettendo nella bara degli indirizzi un URL creato seguendo regole precise. L'URL di una fattura era in sostanza ricavabile dal nome del documento e, prima di visualizzare una fattura, il sistema non controllava se l'utente collegato si fosse già identificato con un login al suo spazio personale.

privacy gdpr
In questo modo il CNIL stima che oltre 334 mila documenti personali siano stati consultabili liberamente. Optical Center ha ammesso la falla e ha provveduto velocemente a risolvere il problema, ma questo non ha impedito all'Authority francese di presentare una multa salata, la più alta mai emessa in Francia per violazioni del genere.

Il caso è significativo perché presenta molti elementi potenzialmente replicabili nelle imprese di qualsiasi nazione e indica le possibili linee guida per le Authority ora che il GDPR è completamente in vigore. Optical Center non è un gigante del web (ha circa 2.600 dipendenti) ed è stata sanzionata per un errore che molte medie imprese europee considererebbero veniale e per una parte del sistema IT (il sito web) che viene spesso trascurata.

Lato CNIL c'è da considerare che l'Authority francese ha soppesato le attenuanti di Optical Center, come la sua velocità nel riparare al danno, ma anche le aggravanti, principalmente il fatto che l'azienda è recidiva (era già stata multata alla fine del 2015). Il messaggio per le imprese forse adesso è più chiaro di prima.
Pubblicato il: 13/06/2018

Cosa pensi di questa notizia?

Speciali

speciali

Veeam On Forum 2018, il futuro iper-disponibile corre veloce

speciali

Phishing, Ransomware e Truffe E-Mail: è allarme per Office 365 e il cloud