Si tratta della sanzione più alta fino a oggi stabilita per violazione del GDPR: dopo un attacco informatico con conseguente sottrazione e uso illecito di dati, è emerso che la società vittima non aveva predisposto adeguate misure di sicurezza
autorità polacca per la protezione dei dati personali (UODO) ha annunciato l’imposizione più alta fino ad oggi per violazione delle norme sulla protezione dei dati personali: 660.000 euro di multa alla società Morele.net, accusata di non aver rispettato il principio di integrità e riservatezza definito nel GDPR. La multa è stata stabilita il 19 settembre 2019.
L’attacco a Morele.net
Nel dicembre 2018, Morele.net Sp.zoo (“Morele.net”), un servizio retail online, ha riferito di essere stato vittima di un crimine informatico in cui è stato violato il suo database di clienti online. I dati di circa 2,2 milioni di clienti come nomi, indirizzi e-mail e di consegna e numeri di telefono sono stati compromessi. I cyber criminali hanno usato i dati rubati in un attacco di phishing; ai clienti è stato inviato un collegamento a una pagina di un negozio falsa in cui è stato chiesto di pagare una somma presumibilmente mancante di denaro per gli acquisti che avevano precedentemente effettuato nel negozio Morele.net.
La compagnia ha denunciato il caso alle autorità, Morele.net ha informato i propri clienti sull’incidente. Ma dopo un’indagine da parte dell’autorità polacca per la protezione dei dati personali, è stato stabilito che le misure organizzative e tecniche utilizzate da Morele.net non erano adeguate al rischio esistente correlato al trattamento dei dati dei loro clienti, e queste inadeguatezze hanno comportato l’accesso non autorizzato.
Le infrazioni
Nella decisione UODO sono state identificate tre infrazioni di base. Innanzitutto, Morele.net non ha rispettato il principio di Integrità e riservatezza definito nel GDPR. II principio di integrity and confidentiality è l’unico richiamo esplicito di sicurezza infromatica all’interno del Regolamento sulla protezione dei dati. Il GDPR afferma che i dati personali devono essere “elaborati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illegale e contro la perdita accidentale, la distruzione o il danno, utilizzando adeguate misure tecniche o organizzative”.
In secondo luogo, Morele.net non ha monitorato efficacemente le potenziali minacce, in particolare quelle relative a comportamenti online insoliti. Morele.net non ha reagito abbastanza rapidamente quando è apparso che si stavano scaricando grandi quantità di dati. Il regolamento generale sulla protezione dei dati GDPR offre alle persone dell’UE un maggiore controllo sui propri dati personali, ma obbliga anche le organizzazioni a utilizzare controlli di sicurezza e privacy più rigorosi durante la memorizzazione o l’elaborazione dei dati personali dell’UE. Sfortunatamente, non esiste un unico strumento per aiutare un’organizzazione a conformarsi pienamente al GDPR. Ma ci sono una serie di strumenti che possono aiutare con la conformità al GDPR. Uno di questi strumenti ad esempio è il Security Information and Event Management (SIEM) che svolge un ruolo importante nella conformità al GDPR.
In terzo luogo, Morele.net afferma di aver elaborato alcuni dati sulla base del consenso, tuttavia Morele.net non è stata in grado di dimostrare il consenso per tale elaborazione, pertanto anche il principio di responsabilità del GDPR è stato violato. Il GDPR pone l’onere della prova sulle organizzazioni : queste devono essere in grado di dimostrare l’esistenza di prove del consenso al trattamento. Su questo aspetto i sistemi di gestione del consenso è meglio crearli in un sistemo dedicato (“in-house”). Archiviare tutte queste informazioni in fogli Excel o in una directory non è una pratica ingestibile e la complessità potrebbe anche comportare il mancato rispetto del GDPR.
Conclusione
Di conseguenza, a causa delle tre infrazioni sopracitate e dell’elevato rischio di effetti negativi per oltre 2 milioni di persone interessate, Morele.net è stata inflitta un’ammenda di oltre 2,8 milioni di PLN (660.000 euro) per insufficiente protezione dei dati personali.
La decisione di UODO mostra l’importanza di monitorare efficacemente i rischi potenziali, nonché di implementare garanzie adeguate per la protezione delle banche dati. UODO ha riconosciuto che la punizione è di natura repressiva, in quanto è una risposta alla violazione del GDPR da parte di Morele.net, ma anche preventiva, dal momento che Morele.net e altri amministratori dei dati saranno effettivamente scoraggiati dal violare le disposizioni sulla protezione dei dati personali in futuro. Morele.net ha annunciato un ricorso contro questa decisione.