L'Authority britannica (ICO) che sovrintende all'applicazione del GDPR ha evidentemente cominciato a fare sul serio. Dopo una multa a British Airways è in arrivo una sanzione più contenuta per la catena alberghiera Marriott International. La sanzione è di poco meno di cento milioni di sterline, pari a poco più di 110 milioni di euro.

La vicenda che ha portato alla sanzione risale alla fine dell'anno scorso. Allora le indagini su una violazione dei sistemi di prenotazione Starwood mostrarono che la rete era stata violata da anni. Si suppone che hacker ostili abbiano penetrato la rete già nel 2014. Nel 2016 Starwood è entrata in Marriott, ma i sistemi IT sono rimasti in buona parte separati. Nella fase di due diligence pre-acquisizione, nessuno evidentemente si è accorto della violazione in corso.

Dal 2014 in poi, gli hacker ostili hanno sottratto informazioni personali relative a circa 340 milioni di clienti Starwood-Marriott. Le informazioni sono state poi trovate sul Dark Web ed è stato confermato che riguardavano appunto clienti Starwood. Circa un decimo delle persone coinvolte nel caso sono europee, da qui la violazione (anche) del GDPR.


La violazione non è legata solo alla perdita dei dati, che da un punto di vista teorico riguarderebbe solo Starwood. ICO spiega infatti che tra gli obblighi previsti dal GDPR c'è eseguire una adeguata due diligence, in caso di acquisizione. Cosa che Marriott evidentemente non ha fatto.

Come British Airways, anche Marriott potrà presentare le sue osservazioni alla decisione di ICO. Queste osservazioni potrebbero portare a una sanzione meno impegnativa. Cosa che però non è affatto scontata.

Le sanzioni di questi giorni indicano che si comincia ad abbandonare l'approccio "morbido" all'applicazione del GDPR seguito sinora. Le Authority nazionali stanno considerando con più attenzione le violazioni, anche internazionali. Da qui le multe "corpose" che sono poi sempre state considerate il principale deterrente della normativa.

È un segnale per le aziende di qualsiasi dimensione, non solo per le grandi come Marriott o BA. Le Authority considerano che le imprese abbiano avuto tutto il tempo per adeguarsi al GDPR. E che ora eventuali multe possano essere comminate senza particolari attenuanti.