L’Autorità Garante per la protezione dei dati personali tedesca (BFDI) ha sanzionato il servizio call center del provider 1&1 Telecommunications per 9,55 milioni di euro per violazione del GDPR (General data Protection Regulation). Si tratta di una delle maggiori sanzioni pecuniarie mai erogate in Germania dall’entrata in vigore del nuovo regolamento Ue sulla data protection, comminata dal garante tedesco per violazione dell’articolo 32 del regolamento, che impone alle aziende di prendere provvedimenti ben definiti dal punto di vista tecnico ed organizzativo per la protezione dei dati personali dei clienti.
Secondo quanto riscontrato dalla BFDI, i clienti che chiamavano 1&1 erano in grado di scoprire le informazioni personali dei un cliente semplicemente fornendo il nome e la data di nascita del soggetto. Ovviamente in questo modo le informazioni personali del cliente non sono sufficientemente protette.
1&1 Telecommunications è uno dei principali fornitore di servizi Dsl e mobile in Germania. Si tratta di una filiale del network provider 1&1 Drillisch, che conta 14 milioni di clienti in Germania.
Da quando l’azienda è finita sotto inchiesta da parte del Garante Privacy, ha aumentato le misure di sicurezza dell’autenticazione dei clienti, ma ciò non è bastato per evitare la sanzione. L’azienda farà ricorso.
Nel regno Unito il Garante Privacy britannico, ICO, ha comminato già una maxi multa per violazione del GDPR sanzionando British Airways per 183 milioni di sterline a causa di una scarsa gestione della security dei dati di mezzo milione di clienti, esposti in rete senza protezione e finiti nelle mani degli hacker a settembre del 2018.
C’è da dire che la strada per raggiungere la totale compliance al GDPR è ancora lunga, visto che secondo i dati di un’indagine condotta recentemente da Capgemini un’azienda su tre ammette di non essere ancora completamente in linea con le richieste del nuovo regolamento Ue. Il principale ostacolo per raggiungere la completa compliance al GDPR è di carattere tecnologico.