Francia: 250 mila euro di multa per un data leak
La sanzione è collegata a un evento accaduto prima del "debutto" del GDPR ma ne segue i principi chiave e costituisce un caso significativo
In Francia il CNIL, che è l'Authority locale per la tutela dei dati personali, ha sanzionato l'azienda Optical Center con una multa di 250 mila euro per una "perdita sostanziale di dati" dovuta a una errata configurazione dei suoi sistemi IT. La sanzione non è direttamente collegata al GDPR perché la perdita dei dati è stata segnalata ben prima del 25 maggio scorso, ma la normativa francese prevedeva già un inasprimento delle sanzioni in linea con i dettami del GDPR.
Optical Center vende online occhiali da vista o da sole con le relative lenti e lenti a contatto, quindi conserva nei suoi sistemi diversi dati dei suoi clienti. Molti sono considerati personali agli effetti delle normative sulla tutela dei dati. In particolare dalle fatture dei prodotti venduti si possono ricavare i dati anagrafici dei clienti e le correzioni diottriche richieste per le lenti, che sono informazioni mediche.
Il data leak che il CNIL ha contestato ad Optical Center derivava da un basso livello di sicurezza del suo sito web. Collegandosi via browser al sito della società era possibile accedere direttamente ai documenti contabili dei clienti semplicemente immettendo nella bara degli indirizzi un URL creato seguendo regole precise. L'URL di una fattura era in sostanza ricavabile dal nome del documento e, prima di visualizzare una fattura, il sistema non controllava se l'utente collegato si fosse già identificato con un login al suo spazio personale.
In questo modo il CNIL stima che oltre 334 mila documenti personali siano stati consultabili liberamente. Optical Center ha ammesso la falla e ha provveduto velocemente a risolvere il problema, ma questo non ha impedito all'Authority francese di presentare una multa salata, la più alta mai emessa in Francia per violazioni del genere.
Il caso è significativo perché presenta molti elementi potenzialmente replicabili nelle imprese di qualsiasi nazione e indica le possibili linee guida per le Authority ora che il GDPR è completamente in vigore. Optical Center non è un gigante del web (ha circa 2.600 dipendenti) ed è stata sanzionata per un errore che molte medie imprese europee considererebbero veniale e per una parte del sistema IT (il sito web) che viene spesso trascurata.
Lato CNIL c'è da considerare che l'Authority francese ha soppesato le attenuanti di Optical Center, come la sua velocità nel riparare al danno, ma anche le aggravanti, principalmente il fatto che l'azienda è recidiva (era già stata multata alla fine del 2015). Il messaggio per le imprese forse adesso è più chiaro di prima.
Optical Center vende online occhiali da vista o da sole con le relative lenti e lenti a contatto, quindi conserva nei suoi sistemi diversi dati dei suoi clienti. Molti sono considerati personali agli effetti delle normative sulla tutela dei dati. In particolare dalle fatture dei prodotti venduti si possono ricavare i dati anagrafici dei clienti e le correzioni diottriche richieste per le lenti, che sono informazioni mediche.
Il data leak che il CNIL ha contestato ad Optical Center derivava da un basso livello di sicurezza del suo sito web. Collegandosi via browser al sito della società era possibile accedere direttamente ai documenti contabili dei clienti semplicemente immettendo nella bara degli indirizzi un URL creato seguendo regole precise. L'URL di una fattura era in sostanza ricavabile dal nome del documento e, prima di visualizzare una fattura, il sistema non controllava se l'utente collegato si fosse già identificato con un login al suo spazio personale.
In questo modo il CNIL stima che oltre 334 mila documenti personali siano stati consultabili liberamente. Optical Center ha ammesso la falla e ha provveduto velocemente a risolvere il problema, ma questo non ha impedito all'Authority francese di presentare una multa salata, la più alta mai emessa in Francia per violazioni del genere.
Il caso è significativo perché presenta molti elementi potenzialmente replicabili nelle imprese di qualsiasi nazione e indica le possibili linee guida per le Authority ora che il GDPR è completamente in vigore. Optical Center non è un gigante del web (ha circa 2.600 dipendenti) ed è stata sanzionata per un errore che molte medie imprese europee considererebbero veniale e per una parte del sistema IT (il sito web) che viene spesso trascurata.
Lato CNIL c'è da considerare che l'Authority francese ha soppesato le attenuanti di Optical Center, come la sua velocità nel riparare al danno, ma anche le aggravanti, principalmente il fatto che l'azienda è recidiva (era già stata multata alla fine del 2015). Il messaggio per le imprese forse adesso è più chiaro di prima.
Notizie correlate
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
