GDPR multa aziende: primo caso in Germania
Da oggi si può dire che il nuovo regolamento europeo sulla protezione dei dati (GDPR) sia “effettivamente” entrato in vigore dopo che in Germania è stata multata la prima azienda per averlo infranto.
In questi mesi il GDPR ha creato grande scompiglio tra le aziende europee vista spesso la complessità delle operazioni da dover attuare per essere compliant con la nuova normativa, ne avevamo già parlato anche noi a suo tempo quando avevamo in questo blog spiegato cosa è la GDPR in breve.
Prima azienda ad essere multata è stata la tedesca Knuddels, un servizio di chat che nel luglio 2018 ha subito una data breach che secondo le stime ha coinvolto i dati di centinaia di migliaia di utenti: ma potrebbero anche essere molti di più.
Stando infatti a quanto pubblicato su Internet dagli stessi gestori del servizio, il leak ha interessato 1,8 milioni di account oltre la metà dei quali associati a indirizzi email attivi (57% dei casi), città di residenza (nel 30% dei casi) e nome registrato nel profilo (41% dei casi).
L’Autorità per la Protezione dei Dati di Baden-Württemberg dopo un’indagine ha deciso di sanzionare l’azienda commissionando la prima multa del GDPR, multa che però è stata decisamente blanda vista “la collaborazione attiva” dell’azienda durante il processo, e questo nonostante le password degli account fossero conservate “in chiaro” sui database, ovvero senza alcun tipo di crittografia.
Proprio la possibilità (o meglio, l’impossibilità!) di leggere le informazioni sensibili (in primis le password) registrate sui database in chiaro è uno dei punti cardine del GDPR, oltre ad essere un errore macroscopico per qualunque software di livello “medio“, ma a quanto pare la “buona volontà mostrata dall’azienda durante la collaborazione con le autorità” ha avuto la meglio e pertanto l’azienda se l’è cavata con soltanto 20.000€ di multa, molto poche considerando che le sanzioni previste possono arrivare fino al 4% del fatturato che nel caso di Knuddels è di circa 8 milioni di euro e quindi il massimale possibile della multa era di oltre 300.000€.