In Francia il
CNIL, che è l'Authority locale per la tutela dei dati personali, ha
sanzionato l'azienda Optical Center con una
multa di 250 mila euro per una "perdita sostanziale di dati" dovuta a una errata configurazione dei suoi sistemi IT. La sanzione non è direttamente collegata al GDPR perché la perdita dei dati è stata segnalata ben
prima del 25 maggio scorso, ma la normativa francese prevedeva già un inasprimento delle sanzioni in linea con i dettami del GDPR.
Optical Center
vende online occhiali da vista o da sole con le relative lenti e lenti a contatto, quindi conserva nei suoi sistemi diversi dati dei suoi clienti. Molti
sono considerati personali agli effetti delle normative sulla tutela dei dati. In particolare dalle fatture dei prodotti venduti si possono ricavare i
dati anagrafici dei clienti e le correzioni diottriche richieste per le lenti, che sono
informazioni mediche.
Il data leak che il CNIL ha contestato ad Optical Center derivava da un
basso livello di sicurezza del suo sito web. Collegandosi via browser al sito della società era possibile accedere direttamente ai documenti contabili dei clienti semplicemente immettendo nella bara degli indirizzi un URL creato seguendo regole precise. L'URL di una fattura era in sostanza
ricavabile dal nome del documento e, prima di visualizzare una fattura, il sistema non controllava se l'utente collegato si fosse
già identificato con un login al suo spazio personale.
In questo modo il CNIL stima che
oltre 334 mila documenti personali siano stati consultabili liberamente. Optical Center ha ammesso la falla e ha provveduto velocemente a risolvere il problema, ma questo non ha impedito all'Authority francese di presentare una multa salata,
la più alta mai emessa in Francia per violazioni del genere.
Il caso è
significativo perché presenta molti elementi potenzialmente replicabili nelle imprese di qualsiasi nazione e indica le possibili linee guida per le Authority ora che il GDPR è completamente in vigore. Optical Center
non è un gigante del web (ha circa 2.600 dipendenti) ed è stata sanzionata per un errore che molte medie imprese europee considererebbero
veniale e per una parte del sistema IT (il sito web) che viene spesso trascurata.
Lato CNIL c'è da considerare che l'Authority francese ha soppesato le attenuanti di Optical Center, come la sua velocità nel riparare al danno, ma
anche le aggravanti, principalmente il fatto che l'azienda è recidiva (era già stata multata alla fine del 2015). Il messaggio per le imprese forse adesso è più chiaro di prima.