Gestire le violazioni

GDPR nella pratica: conformità e sanzioni

Mamnoon Hadi

Head of Analytics & Insights at Readdle

Caso di studio: violazione GDPR di Marriott

Scoperta della violazione: a settembre 2018 Marriott International ha scoperto accessi non autorizzati al database prenotazioni Starwood dal 2014

Dati compromessi: esposti i dati personali di circa 500 milioni di ospiti (nome, indirizzo, telefono, email, numero di passaporto, data di nascita, genere, dettagli della carta di pagamento)

Notifica tardiva: Marriott non ha avvisato l'ICO entro le 72 ore richieste dal GDPR. Il ritardo ha portato a forte scrutinio regolatorio e a una pesante multa

¹ ico.org.uk

Articolo 33: Notifica all'autorità di controllo

Requisito chiave:
- Le organizzazioni devono notificare l'autorità di controllo senza ingiustificato ritardo e entro 72 ore da quando vengono a conoscenza di una violazione di dati personali
Informazioni da fornire:
- Natura della violazione: cosa è successo e come è stata scoperta
- Categorie di interessati coinvolti (es. clienti, dipendenti)
- Tipi di dati personali interessati
- Possibili conseguenze
- Misure adottate o pianificate: passi per mitigare la violazione e prevenire incidenti futuri

Articolo 34: Comunicazione agli interessati

Quando notificare gli interessati:
- Se la violazione può comportare un rischio elevato per i diritti e le libertà delle persone, gli interessati vanno informati senza ingiustificato ritardo
Contenuto della comunicazione:
- Natura della violazione: spiegazione chiara e semplice
- Possibili conseguenze: es. frode, furto d'identità
- Azioni intraprese dall'organizzazione per contenere la violazione
- Consigli per gli interessati: cosa fare (es. cambiare password, monitorare i conti)
- Contatti: referente dedicato per assistenza

Caso di studio: impatto - violazione Marriott

Sanzione economica:

Nell'ottobre 2020 l'ICO (Regno Unito) ha multato Marriott International per 18,4 milioni di sterline

Danno reputazionale:

Le violazioni danneggiano la reputazione e il mancato rispetto delle procedure GDPR standard amplifica la perdita di fiducia e di brand

Impatto operativo e costi:

Marriott ha sostenuto quasi 30 milioni di dollari in spese di recupero: indagini, notifica ai clienti colpiti, un anno di software di monitoraggio della sicurezza e sviluppo di un call center internazionale

Best practice per gestire i data breach

procedura piano

Best practice per gestire i data breach

Implementa piani di risposta solidi: definisci piani per agire rapidamente in caso di violazione

Forma il personale: istruisci su principi di protezione dati e procedure di segnalazione

Mantieni canali di comunicazione chiari: comunica in modo tempestivo e trasparente con autorità e interessati

Rivedi regolarmente le misure di sicurezza: valuta e migliora continuamente i protocolli

risposta

Analisi delle cause e documentazione: individua i problemi di fondo e tieni registri dettagliati

Passiamo alla pratica !

GDPR nella pratica: conformità e sanzioni