Nel Regno Unito in questi giorni sono state registrate due sanzioni record relative a violazioni del GDPR in situazioni di data breach, rispettivamente alla compagnia di bandiera British Airways e alla catena alberghiera Marriott.
Il Garante della privacy britannico ha sanzionato la British Airways con un ammenda di 183 milioni di sterline (204 milioni di euro) per il data breach correlato al furto di dati su 380 mila carte di credito da parte di hacker informatici.
L’ammenda si riferisce a un incidente informatico, notificato dalla compagnia aerea nel settembre 2018, in cui il traffico di utenti del sito Web di British Airways è stato dirottato verso un sito fraudolento, che ha registrato i dati personali di circa 500.000 malcapitati utenti. L’indagine dell’Authority britannica ha rilevato che i dati comprendevano una varietà di informazioni – inclusi i dati di login, della carta di pagamento, dettagli della prenotazione del viaggio e informazioni su nome e indirizzo – che sono stati compromessi a causa dalle pessime disposizioni di sicurezza messe in atto dell’azienda.
Il Garante del regno Unito ha indagato su questo caso come autorità di vigilanza capofila per conto di altre autorità di protezione dei dati degli Stati membri dell’UE. Ha anche collaborato con altri regolatori, in base alle disposizioni dello “sportello unico” del GDPR, le autorità di protezione dei dati nell’UE i cui residenti sono stati colpiti avranno anche la possibilità di commentare le conclusioni dell’Autorità inglese.
L’ammenda proposta riguarda un incidente informatico che è stato notificato da Marriott nel novembre 2018. Dall’incidente sono stati esposti diversi dati personali contenuti in circa 339 milioni di record di ospiti, di cui circa 30 milioni relativi a residenti in 31 paesi dello Spazio economico europeo (SEE) e sette milioni di persone residenti nel Regno Unito. Si ritiene che la vulnerabilità sia iniziata quando i sistemi del gruppo Starwood sono stati compromessi nel 2014 ovvero due anni prima che Marriott acquisisse Starwood. Tuttavia, il data breach è stato scoperto solo nel 2018 e l’Authority ha dunque stabilito che il Marriott al momento dell’acquisto non ha intrapreso precauzioni sufficienti per proteggere i suoi sistemi.
