GDPR: una sanzione anche per Marriott

Multa di circa 110 milioni di euro per aver violato il GDPR nella mega-falla alla sicurezza di fine 2018, che ha coinvolto anche cittadini europei

Sicurezza
L'Authority britannica (ICO) che sovrintende all'applicazione del GDPR ha evidentemente cominciato a fare sul serio. Dopo una multa a British Airways è in arrivo una sanzione più contenuta per la catena alberghiera Marriott International. La sanzione è di poco meno di cento milioni di sterline, pari a poco più di 110 milioni di euro.

La vicenda che ha portato alla sanzione risale alla fine dell'anno scorso. Allora le indagini su una violazione dei sistemi di prenotazione Starwood mostrarono che la rete era stata violata da anni. Si suppone che hacker ostili abbiano penetrato la rete già nel 2014. Nel 2016 Starwood è entrata in Marriott, ma i sistemi IT sono rimasti in buona parte separati. Nella fase di due diligence pre-acquisizione, nessuno evidentemente si è accorto della violazione in corso.

Dal 2014 in poi, gli hacker ostili hanno sottratto informazioni personali relative a circa 340 milioni di clienti Starwood-Marriott. Le informazioni sono state poi trovate sul Dark Web ed è stato confermato che riguardavano appunto clienti Starwood. Circa un decimo delle persone coinvolte nel caso sono europee, da qui la violazione (anche) del GDPR.

gdpr 3438468 1280
La violazione non è legata solo alla perdita dei dati, che da un punto di vista teorico riguarderebbe solo Starwood. ICO spiega infatti che tra gli obblighi previsti dal GDPR c'è eseguire una adeguata due diligence, in caso di acquisizione. Cosa che Marriott evidentemente non ha fatto.

Come British Airways, anche Marriott potrà presentare le sue osservazioni alla decisione di ICO. Queste osservazioni potrebbero portare a una sanzione meno impegnativa. Cosa che però non è affatto scontata.

Le sanzioni di questi giorni indicano che si comincia ad abbandonare l'approccio "morbido" all'applicazione del GDPR seguito sinora. Le Authority nazionali stanno considerando con più attenzione le violazioni, anche internazionali. Da qui le multe "corpose" che sono poi sempre state considerate il principale deterrente della normativa.

È un segnale per le aziende di qualsiasi dimensione, non solo per le grandi come Marriott o BA. Le Authority considerano che le imprese abbiano avuto tutto il tempo per adeguarsi al GDPR. E che ora eventuali multe possano essere comminate senza particolari attenuanti.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Webinar

Attacco al cloud, così stanno sabotando la ripartenza. Correre ai ripari, evitare rischi

Speciale

Stampa gestita: il servizio conquista

Speciale

HPE Innovation Lab NEXT: ripartire con la co-innovazione

Webinar

La cyber security agile per la nuova IT

webinar

Sicurezza, privacy, edge e cloud: come gestirli al meglio per ripartire con successo. #DataSecurity, la diretta streaming

Calendario Tutto

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori