La sanzione dal garante britannico, che ha applicato le prescrizioni del Gdpr europeo, ben più severe della legislazione passata di cui aveva beneficiato Facebook
Lo scorso settembre un attacco hacker ai danni dei database di British Airways, la storica compagnia capofila del conglomerato aeronautico Iag che include anche Iberia Vueling e altri vettori, ha condotto al furto dei dati di 380mila carte di credito e gli estremi di accesso di 500mila utenti. Tutto nel giro di un paio di settimane. Adesso arriva la stangata del garante della privacy britannico, in ottemperanza a quanto previsto dal cosiddetto Gdpr, il regolamento generale europeo per la protezione dei dati personali in vigore dallo scorso anno.
La maximulta
La multa ammonta a ben 183 milioni di sterline, più o meno 204 milioni di euro, richieste appunto dall’Information commissioner’s officer britannica in conseguenza del furto del 2018: “Siamo sorpresi e delusi dai risultati dell’Ico – ha risposto il Ceo di British Airways Alex Cruz in una nota – British Airways ha risposto rapidamente all’atto criminale di furto di dati dei clienti e non ha trovato prove di attività fraudolente nei conti interessati da questo furto”. L’Ico sembra averla pensata diversamente punendo in modo pesante – ben oltre le 500mila sterline di sanzione a Facebook per Cambridge Analytica – le “scarse misure di sicurezza” della compagnia che sarebbero state alla base del breach. Oltre alle carte di credito – compresi gli importanti codici di sicurezza a tre cifre – nel bottino c’erano anche nomi, indirizzi, dettagli degli itinerari e appunto estremi d’accesso sono stati sottratti dai server del gruppo.
Nel frattempo Willie Walsh, Ceo di Iag, ha annunciato piani per negoziare con l’Ico su questo tema, sul ricorso ed evidentemente sull’ammontare della sanzione. “I dati personali delle persone sono fondamentalmente questo: personali – ha replicato la responsabile dell’autorità, Elizabeth Dunham, estremamente attiva sotto diversi fronti, per esempio nella difesa dei dati dei minori sui social network – quando un’organizzazione fallisce nella protezione da perdina, danneggiamento o furto tutto questo è più di un inconveniente. Per questo la legge è chiara: quando ti vengono affidati dei dati personali devi occupartene. Chi non lo fa finirà sotto indagine del mio ufficio per verificare se avevano preso misure appropriate per proteggere diritti fondamentali della privacy”.
Elizabeth Dunham
La differenza con Cambridge Analytica
L’ammontare della multa a British appare sproporzionato rispetto a quelle rimediata da Facebook mesi fa, soprattutto considerando che lo scandalo toccò ben 87 milioni di utenti. Si deve tuttavia al fatto che quella ai danni del social network venne calcolata in base alla precedente legislazione sulla privacy britannica, il Data Protection Act del 1998, e non appunto attraverso il più severo complesso di prescrizioni del Gdpr, che autorizza le agenzie a salire fino al 4% del fatturato complessivo di un gruppo. IN questo caso, si tratta dell’1,7% delle entrate del 2017.
