giovedì 29 novembre 2018

Prima sanzione GDPR in Germania: multata piattaforma di chat


La piattaforma di chat in questione si chiama knuddels.de ed ha subito un duro hacking che ha comportato la fuoriuscita di 808.000 indirizzi email e oltre 1 milione di username e password: per questo la società di social network che gestisce questa piattaforma si è vista infliggere una sanzione di 20.000 Euro dalla Baden-Württemberg Data Protection Authority.

Il furto dei dati è avvenuto nel Luglio di questo anno e le informazioni sottratte sono state pubblicate in chiaro online. Un membro dello staff ha confermato, qualche giorno dopo, che la violazione aveva riguardato tutti gli utenti registrati sulla piattaforma prima del 20 Luglio 2018.
Per stimare l'impatto dell'attacco sono stati verificati oltre 330.000 indirizzi email trapelati: la gran parte sono stati ritrovati esposti su Pastebin e Mega Cloud. La notizia peggiore è arrivata invece qualche mese dopo: il sito web in questione non applicava alcuna misura di protezione per informazioni sensibili come le password, che finivano memorizzate sui server come normalissimo testo.

Le sanzioni nell'era del GDPR considerano svariati aspetti
Quella contro knuddels.de è stata la prima penalità in Germania (tra le primissime in Europa) comminate ai sensi del nuovo Regolamento sulla Protezione Dati dell'UE, entrato in vigore nel Maggio di quest'anno. A seconda della gravità dell'infrazione, il GDPR prevede multe fino a 20 milioni di euro o il 4% delle entrate dell'anno fiscale precedente, a seconda di quale dei due valori sia il più alto. 

Nel calcolo della penalità vengono tenute in considerazione anche il numero delle persone coinvolte, la natura dell'infrazione, le azioni di mitigazione messe in atto, la cooperazione con l'Autorità di vigilanza, la notifica o meno, nei tempi e nei modi previsti per legge, della violazione.

Nel dettaglio Knuddels.de è risultata in regola per la maggior parte dei punti sopra previsti: la sanzione è stata comminata principalmente per la violazione dell'art.32, lettera a del GDPR, che riguarda la pseudonimizzazione e la crittografia dei dati personali degli utenti. A ridurre ulteriormente la sanzionu ha contribuito, come affermato dall'Autorità Tedesca per la protezione dei dati, la trasparenza e l'esemplare cooperazione, ma anche la rapidità di implementazione e aggiornamento di ulteriori sistemi di sicurezza. L'Autorità tedesca ha anche voluto ribadire che non v'è alcun interesse a entrare in una competizione tra Stati a chi applichi le sanzioni più alte, dato che l'obiettivo finale è migliorare la privacy e la sicurezza dei dati degli utenti. 

Nessun commento:

Posta un commento