British Airways: oltre la multa in sé

Con l’entrata in vigore del GDPR ci sono state molti data breach e molte sanzioni; qualcuna l’abbiamo anche citata, ma Privacy Italiana preferisce concentrarsi sullo studio, la comprensione, le azioni da intraprendere per evitare di arrivare all’intervento del Garante piuttosto che inseguire le sanzioni, a volte con una caccia al record quasi morbosa. Questa volta però la decisione del Garante britannico vale la pena di essere portata all’attenzione dei lettori, in quanto, al di là della sanzione per una consistente perdita di dati avvenuta nel 2018, è interessante leggere le motivazioni. I dati persi riguardavano quasi 500mila clienti, ma il Garante ha avuto la mano pesante perché l’inchiesta ha riscontrato come mancassero completamente le precazioni più elementari: non era stato limitato l’accesso ai soli dati necessari da parte degli operatori (privacy by default), non sono stati eseguiti penetration test, non è stata attivata né per gli impiegati né per le terze parti l’autenticazione a due fattori. Soprattutto “nessuna di queste misure avrebbe comportato costi eccessivi, alcune delle quali disponibili attraverso il normale sistema operativo di Microsoft in uso presso la British Airways” Insomma, nemmeno le normali funzionalità di protezione di Windows erano attive, il che ha portato alla sanzione più pesante: 20 milioni di sterline.

British Airways sanzionata per non avere implementato le protezioni più elementari