La violazione delle disposizioni del GDPR può costare molto caro

GDPR

Maxi sanzione di 660.000 euro comminata ad una società polacca per violazione delle disposizioni del GDPR

L’UODO, l’Authority polacca per la protezione dei dati personali, ha comminato alla società Morele.net, una multa di 660 mila euro, la più alta fino ad oggi, per la violazione del principio di integrità e riservatezza definito nel GDPR. La società a seguito di un attacco informatico aveva subito la sottrazione dell’intera banca dati dei clienti. Le indagini dell’authority polacca hanno dimostrato che la società non aveva predisposto le adeguate misure di sicurezza e pertanto con un provvedimento emesso il 19 settembre 2019 è stata la società è stata condannata ad una multa salatissima.

Il caso

Nel dicembre 2018, la società Morele.net, che si occupa di vendite online, ha comunicato di essere stata vittima di un attacco hacker, a seguito di detto evento l’intero database di clienti (nomi, indirizzi e-mail ma anche dati relativi al domicilio e numeri di telefono) era stato compromesso. I dati personali di circa 2 milioni di utenti erano stati trafugati.

Successivamente, i criminali utilizzando i dati acquisiti illecitamente, inviavano a tutti i clienti della società una mail (attacco phishing), con all’interno  un collegamento ad una pagina falsa nel quale veniva chiesto il versamento di ulteriori somme di denaro per presunti acquisti fatti in precedenza nel negozio Morele.net.

La compagnia ha immediatamente avvisato i propri clienti e le autorità polacche, tuttavia, le indagini hanno dimostrato l’inadeguatezza dei sistemi di protezione della Morele.net in relazione al rischio correlato al trattamento dei dati personali dei propri clienti.

Gli errori della società Morele.net

La sanzione applicata dall’UODO deriva dalla commissione di tre infrazioni molto gravi:

  • Il mancato rispetto del principio d’integrità e riservatezza. La prima infrazione riguarda il mancato rispetto dell’unico principio di sicurezza informatica esplicitamente contenuto nel Regolamento europeo sulla privacy. L’art. 5, par. 1, lett f), del GDPR, stabilisce che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”;
  • Mancato monitoraggio e controllo delle attività avvenute sulla propria piattaforma. Dall’art. 32, par. 2 del GDPR, si ricava invece il principio altrettanto importante del monitoraggio continuo delle attività nel trattamento di dati personali per evitare la “distruzione, la perdita, la modifica, la divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati stessi. Nel caso della Morele.net, la società non avrebbe prestato attenzione alle attività svolte sulla propria piattaforma, accorgendosi in ritardo della mole di dati personali trafugati;
  • Violazione del principio di responsabilizzazione. L’ultima violazione riguarda il rilascio del consenso. La società è stata sanzionata perché non è riuscita a dimostrare il corretto rilascio del consenso al trattamento degli interessati. Violando in questo modo un altro dei principi fondamentali del GDPR.

La sanzione comminata dall’Authority polacca per la protezione dei dati personali deve essere un monito per tutte le altre società che trattano dati personali. Non bisogna sottovalutare aspetti fondamentali del GDPR quali ad esempio: un’adeguata valutazione dei rischi a cui si è esposti nel trattamento dei dati e l’adozione di adeguati sistemi di protezione. La mancanza di uno di questi aspetti può costare molto caro alle società.

 

Benedetta Greco