GDPR, la prima multa è tedesca

Fattura elettronica e privacy, farmacisti e medici saranno probabilmente esclusi o solo rimandati?
26 Novembre 2018
TUTTE LE FARMACIE DEVONO REGIRE E DETENERE UN AGGIORNATO REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI
28 Novembre 2018

GDPR, la prima multa è tedesca

Da un popoloso Land tedesco arriva la prima sanzione pecuniaria comminata nel rispetto delle nuove regole europee per il trattamento dei dati personali. La multa non è eccessiva poiché l’azienda incriminata ha collaborato con le autorità.

L’autorità per la protezione dei dati del Land di Baden-Württemberg (LfDI) ha multato Knuddels.deper violazione del GDPR, la stringente regolamentazione sul trattamento dei dati personali in vigore in Europa dal maggio del 2018. La piattaforma di chat in lingua tedesca si è persa i dati degli utenti, ma grazie all’approccio collaborativo con le autorità statali non ha dovuto affrontare sanzioni pecuniarie da record.

Il fatto risale allo scorso luglio, quando Knuddels ha subito una violazione di sicurezza a opera di ignoti con la compromissione di circa 808.000 account di posta elettronica e quasi 2 milioni di account del servizio. I nomi utente e le password sono finiti nei database on-line, leggibili completamente in chiaro da tutti.

La società ha poi confermato la breccia di sicurezza, verificando di prima mano la legittimità di 330.000 e-mail tra quelle violate e pubblicate in rete. Stando alle informazioni emerse in seguito, Knuddels ha facilitato la vita agli hacker black hatarchiviando password e altri dati sensibili in chiaro, senza hash o altre misure di sicurezza aggiuntive.

Una multa non troppo salata

Una norma della nuova regolamentazione europea sui dati personali specifica chiaramente la necessità, per chi tratta questo genere di informazioni, di rafforzare la sicurezza tramite l’uso di algoritmi di anonimizzazione e crittografia. Knuddels, con tutta l’evidenza del caso, ha palesemente violato la norma.

Le autorità di Baden-Württemberg hanno quindi sanzionato la piattaforma di messaggistica con una multa di €20.000, una cifra non irrisoria ma molto al di sotto dei salassi previsti dal GDPR nei casi di violazione più gravi. Nel peggiore dei casi, infatti, le corporation che non proteggono adeguatamente i dati degli utenti potrebbero essere costrette a pagare una somma pari al 4% dei loro ricavi annuali.

Nel caso di Knuddels.de, la multa è arrivata ad appena 20.000 euro grazie al modo in cui si è risolto il caso: l’azienda ha collaborato con le autorità statali ed è stata pienamente trasparenteagendo in poche settimane, chiedendo agli utenti di modificare la password e accettando di implementare nuove misure di sicurezza per la protezione dei dati in coordinazione con l’LfDI.