Data breach: il caso più grave del 2018

Il caso più grave di data breach nel 2018 è stato, senza dubbio, quello del furto di dati subito dalla catena alberghiera Marriott. Ben 500 milioni di profili di ospiti violati da due hacker.

A riferirlo, lo scorso 30 novembre, fu proprio la società che gestisce i “Marriott Hotels“, con particolare riferimento alle modalità dell’attacco subito: attraverso il database di uno dei marchi di proprietà ovvero lo “Starwood Hotels”.

Nell’informazione alla stampa fu riportato: “La società ha recentemente scoperto che un ente non autorizzato ha copiato e crittografato le informazioni, abbiamo preso provvedimenti per rimuoverla. Non siamo in grado di dire se gli hacker possano decifrare i numeri delle carte di credito – affermò il Ceo Arne Sorenson – ma verrano inviate mail a tutti gli ospiti vittime di questa violazione di privacy affinché siano informate dell’accaduto“.

Si è trattato del data breach dei profili di 500 milioni di clienti, completi ovviamente di nomi, cognomi, numeri di telefono, indirizzi e-mail, numeri di passaporto, data di nascita, arrivo e partenza nell’albergo.

Inutile aggiungere il grave danno di immagine ma anche economico che ne derivò per il brand Marriott, con un calo del 6% del titolo.

Come sappiamo, la comunicazione della violazione dei dati (così come descritto dalle Guidelines on Personal data breach notification under Regulation 2016/679, adottate il 3 ottobre 2017 dal gruppo di lavoro Art.29) è un fondamento dell’adozione del Gdpr.

Tuttavia, la notifica all’Autorità di controllo è obbligatoria a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Il Gdpr descrive anche tempi e modi della notifica: entro 72 ore dal momento in cui si è venuti a conoscenza del data breach ed attraverso modelli predefiniti. L’art. 33, infine, chiarisce anche quali e quante informazioni riportare nella comunicazione di avvenuto data breach.

“Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio”.

Art. 33, comma 5 del Gdpr

Dal 2018 è partita una vera rivoluzione culturale in tema di trattamento dei dati personali, una prova ne è il fatto che comincino a fioccare sanzioni anche piuttosto pesanti come nel caso di Google.

Il trattamento etico dei dati delle persone permette a tutti noi, in quanto utenti, di sentirci più al sicuro. Pertanto, non bisogna rimandare la messa a punto delle celeberrime “misure tecnico ed organizzative adeguate” per fronteggiare eventuali tentativi di data breach.

La violazione dei dati non è detto che avvenga solo per l’incursione di hacker specializzati ma, persino, a causa di semplici dimenticanze o leggerezze del personale autorizzato ad intervenire sui dati personali che rappresentano, nella nostra economia, la più grande risorsa per qualsiasi genere di organizzazione.

Richiedi una consulenza