GDPR, in Germania la prima vittima

In Germania la prima violazione del GDPR

20.000 euro di multa per Knuddels.de, sito protagonista in Germania del primo caso di sanzione per violazione del GDPR

 

Del GDPR vi abbiamo raccontato la genesi e i dettagli. È tempo, ora, di seguirne gli sviluppi, capirne l’impatto e le conseguenze e, soprattutto, osservare con quanto rigore le regole saranno rispettate e le sanzioni comminate. La prima di queste, dopo un periodo iniziale di calma apparente, è arrivata in Germania, precisamente nel Land di Baden-Württemberg. A farne le spese è il sito di chat Knuddels.de.

Misure di sicurezza insufficienti

La violazione del GDPR da parte di Knuddels.de risale allo scorso luglio, quando, a seguito di un attacco informatico, il sito tedesco subì il furto di qualcosa come 808.000 account di posta elettronica e 2 milioni di account del servizio. Il GDPR, in casi come questo, è molto chiaro: è compito dell’azienda attuare le massime misure di sicurezza a sua disposizione per proteggere i dati sensibili di cui è in possesso, che si tratti di dipendenti o, come in questo caso, di utenti del servizio. Cosa che Knuddels non ha, decisamente, fatto al meglio delle proprie possibilità: gli account, gli indirizzi mail rubati e le rispettive password erano infatti archiviati praticamente in chiaro, senza una protezione sufficiente a, quantomeno, complicare la vita all’hacker di turno.

Collaborazione e sanzione ridotta

La pena, in fin dei conti, non è stata delle più severe: Knuddels.de ha infatti subito una sanzione di soli 20.000 euro. Non proprio spiccioli, certo, ma decisamente pochi se confrontati alle massime sanzioni previste dal GDPR, che possono arrivare fino al 4% del ricavo annuale dell’azienda. Il “trattamento di favore” è, però, giustificato dal fatto che il sito tedesco abbia subito ammesso il proprio errore e, da subito, collaborato attivamente con la giustizia. Knuddels ha inoltre accettato di buon grado di migliorare le proprie misure di sicurezza in fatto di dati sensibili adeguandole a quelli che sono gli standard del GDPR. Tutti gli utenti del sito sono, inoltre, immediatamente stati avvertiti dell’accaduto ed esortati a cambiare le password dei loro account. Una vicenda che, dunque, sembra essere giunta a conclusione senza danni irrimediabili per nessuna delle parti in causa, ma che allo stesso tempo lancia un importante monito: il GDPR non è uno scherzo e non sempre le sanzioni si limiteranno ai 20.000 euro comminati a Knuddels. A buon intenditor…

Ivan Marra

//]]>