Mancata adozione di misure di sicurezza adeguate: compagnia aerea sanzionata per 20 milioni di sterline

L’Autorità privacy del Regno Unito (“ICO”) ha emesso una sanzione di 20 milioni di sterline nei confronti della società British Airways, in relazione a una violazione di dati che ha coinvolto circa 430.000 persone.

Il provvedimento ha significativa importanza, perché risulta il più severo finora adottato in materia di obblighi di sicurezza previsti dal Regolamento (UE) 2016/679 (c.d. GDPR) – oltre ad essere anche la sanzione privacy più elevata della storia del Regno Unito.

Il caso prende le mosse da un attacco informatico che ha interessato i sistemi della compagnia aerea nel giugno del 2018, mediante il quale sono stati sottratti dati personali di vario tipo, inclusi i dati delle carte di credito dei clienti (numero della carta e CVV).

L’Autorità privacy, all’esito delle investigazioni, ha rilevato che la Società trattava i dati di clienti e dipendenti in assenza di misure di sicurezza adeguate. Le conseguenze dell’attacco informatico, quindi, sono state ritenute interamente addebitabili alla Società, che peraltro aveva individuato la violazione dei dati con colpevole ritardo e soltanto grazie alla segnalazione di un soggetto esterno.

A giudizio dell’Autorità, la British Airways avrebbe potuto prevenire l’attacco mediante misure di sicurezza elementari, dal costo contenuto e comunque compatibili con le proprie tecnologie (es. sistemi di autorizzazione per l’accesso ai dati, protezione degli account con autenticazione multi-fattoriale ecc.).

Il caso ha coinvolto persone di diversi stati UE e, perciò, l’ICO ha agito come “autorità capofila”, ottenendo l’approvazione di tutte le altre autorità privacy europee prima di emettere la sanzione, la cui entità è stata determinata anche in considerazione dell’impatto economico che l’emergenza covid-19 ha avuto sulla compagnia aerea.

(Information Commissioner's Officer, provvedimento del 16 ottobre 2020)