NEWS

Uk: maxi sanzione da 110 milioni di euro per Marriott per Violazione del Gdpr

L'Authority britannica (ICO) che sovrintende all'applicazione del GDPR ha evidentemente cominciato a fare sul serio. Dopo una multa a British Airways è in arrivo una maxi sanzione anche per la catena alberghiera Marriott International. La sanzione è di circa cento milioni di sterline, pari a poco più di 110 milioni di euro.

Il Marriott Hotel è stato sanzionato per 18.4 milioni di sterline per violazione della privacy

La vicenda che ha portato alla sanzione risale alla fine dell'anno scorso. Allora le indagini su una violazione dei sistemi di prenotazione Starwood mostrarono che la rete era stata violata da anni. Si suppone che hacker ostili abbiano penetrato la rete già nel 2014. Nel 2016 Starwood è entrata in Marriott, ma i sistemi IT sono rimasti in buona parte separati. Nella fase di due diligence pre-acquisizione, nessuno evidentemente si è accorto della violazione in corso.

Dal 2014 in poi, gli hacker ostili hanno sottratto informazioni personali relative a circa 340 milioni di clienti Starwood-Marriott. Le informazioni sono state poi trovate sul Dark Web ed è stato confermato che riguardavano appunto clienti Starwood. Circa un decimo delle persone coinvolte nel caso sono europee, da qui la violazione (anche) del GDPR.
La violazione non è legata solo alla perdita dei dati, che da un punto di vista teorico riguarderebbe solo Starwood. ICO spiega infatti che tra gli obblighi previsti dal GDPR c'è eseguire una adeguata due diligence, in caso di acquisizione. Cosa che Marriott evidentemente non ha fatto.

Come British Airways, anche Marriott potrà presentare le sue osservazioni alla decisione di ICO. Queste osservazioni potrebbero portare a una sanzione meno impegnativa. Cosa che però non è affatto scontata.

Le sanzioni di questi giorni indicano che si comincia ad abbandonare l'approccio "morbido" all'applicazione del GDPR seguito sinora. Le Authority nazionali stanno considerando con più attenzione le violazioni, anche internazionali. Da qui le multe "corpose" che sono poi sempre state considerate il principale deterrente della normativa.

È un segnale per le aziende di qualsiasi dimensione, non solo per le grandi come Marriott o BA. Le Authority considerano che le imprese abbiano avuto tutto il tempo per adeguarsi al GDPR. E che ora eventuali multe possano essere comminate senza particolari attenuanti.

Fonte: Impresa City

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev UK: multa da 204 milioni di euro a British Airways per il furto dei dati dei suoi clienti
Next Germania: Garante della privacy vieta l'uso di Office 365 nelle scuole

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy