British Airways - Multa record!

Ebbene si, il GDPR funziona. Anche per i più scettici e gli ostinati a dire il contrario, il nuovo (non così tanto ormai) regolamento sulla protezione dei dati, funziona.

È di 183 milioni di sterline, pari a 204 milioni di euro, la multa record indicata dall’ICO Information Commissioner’s Office, il garante britannico della privacy, riguardante il databreach relativo al furto di dati dei passeggeri nel 2018 che British Airways non si era accorta di avere avuto a causa di una falla nel sito www.ba.com all’atto della prenotazione dei voli.

Il comunicato dell’ICO è stato chiaro e molto pungente, un’ammonizione quasi scolastica:

“I dati personali delle persone sono esattamente questo: personali. Se un’organizzazione non è in grado di proteggerli da perdita, danneggiamento o furto, non si tratta solo di un inconveniente. Per questo motivo la legge è chiara: quando ti vengono affidati dei dati personali, devi trattarli con molta attenzione”.

Il Ceo di British ha cercato di replicare ma se si tratta di dati di centinaia di migliaia di dati sottratti non c’è molto da scusarsi, urge un rimborso che spetterà a tutti i clienti impattati.

saranno quindi rimborsate sia le eventuali frodi successive con le carte di credito rubate che un anno di abbonamento al servizio di “credit rating” di Experian più un monitoraggio sul furto d’identità per tutti i 380mila clienti frodati.

Nonostante British Airways abbia cooperato fin dall’inizio con l’ICO, e abbia immediatamente provveduto a incrementare le misure di sicurezza dal momento in cui ha avuto conoscenza dei fatti, secondo il garante inglese la compromissione sarebbe stata causata da “poor security arrangements”.

L’ICO, come riporta il comunicato, avrebbe svolto le sue investigazioni come principale autorità di controllo anche in rappresentanza delle altre autorità sulla data protection europee. Da considerare anche che, come prevedono le clausole ‘one stop shop’ del GDPR, tutti i cittadini europei e le organizzazioni presenti in più paesi potrebbero per questo databreach rivolgersi direttamente all’ICO UK. Secondo l’ICO, si sarebbe trattato di un databreach rilevante, con numerose informazioni sottratte ai clienti della compagnia aerea: nomi, indirizzi, account di log in, dati di carte di pagamento (compresa la data di scadenza e il codice di sicurezza della carta), dettagli relativi alle prenotazioni dei viaggi. Con il GDPR entrato a regime, la sanzione definita dall’ICO, pari a 183,39 milioni di sterline, corrispondenti all’1,5% del fatturato globale, e quindi non è neanche la cifra massima, perché per i casi molto gravi il GDPR fissa un massimo pari al 4% del fatturato globale.