L'Authority britannica (ICO) che sovrintende all'applicazione del
GDPR ha evidentemente cominciato a fare sul serio. Dopo una multa a British Airways è in arrivo una sanzione più contenuta per la
catena alberghiera Marriott International. La sanzione è di poco meno di
cento milioni di sterline, pari a poco più di
110 milioni di euro.
La vicenda che ha portato alla sanzione risale alla fine dell'anno scorso. Allora le indagini su una
violazione dei sistemi di prenotazione Starwood mostrarono che la rete
era stata violata da anni. Si suppone che hacker ostili abbiano penetrato la rete
già nel 2014. Nel 2016 Starwood è entrata in Marriott, ma i sistemi IT sono rimasti in buona parte separati. Nella fase di due diligence pre-acquisizione, nessuno evidentemente si è accorto della violazione in corso.
Dal 2014 in poi, gli hacker ostili hanno sottratto informazioni personali relative a circa
340 milioni di clienti Starwood-Marriott. Le informazioni sono state poi trovate sul Dark Web ed è stato confermato che riguardavano appunto clienti Starwood. Circa
un decimo delle persone coinvolte nel caso sono europee, da qui la violazione (anche) del GDPR.
La violazione non è legata solo alla perdita dei dati, che da un punto di vista teorico riguarderebbe solo Starwood. ICO spiega infatti che tra gli obblighi previsti dal GDPR c'è
eseguire una adeguata due diligence, in caso di acquisizione. Cosa che Marriott evidentemente non ha fatto.
Come
British Airways, anche Marriott potrà
presentare le sue osservazioni alla decisione di ICO. Queste osservazioni potrebbero portare a una sanzione meno impegnativa. Cosa che però non è affatto scontata.
Le sanzioni di questi giorni indicano che
si comincia ad abbandonare l'approccio "morbido" all'applicazione del GDPR seguito sinora. Le Authority nazionali stanno considerando con più attenzione le violazioni, anche internazionali. Da qui le multe "corpose" che sono poi sempre state considerate il principale deterrente della normativa.
È un segnale
per le aziende di qualsiasi dimensione, non solo per le grandi come Marriott o BA. Le Authority considerano che le imprese abbiano avuto tutto il tempo per adeguarsi al GDPR. E che ora eventuali multe possano essere comminate senza particolari attenuanti.