Entrato in vigore nel 2018, il GDPR (General Data Protection Regulation) è uno dei regolamenti più stringenti in materia di protezione dei dati personali e va a definire gli standard su come le aziende e altre organizzazioni possono raccogliere, utilizzare e conservare i dati delle persone fisiche. Grazie al GDPR, l’Unione Europea mira a proteggere i dati personali dei cittadini europei, stabilendo il loro diritti in materia, come ad esempio il diritto di accesso, di rettifica, di cancellazione e di opposizione al trattamento.

Ovviamente il General Data Protection Regulation si applica anche ai servizi cloud, i quali trattano dati personali con varie finalità, come l’archiviazione, la gestione o l’elaborazione di file, messaggi, documenti e molte altre. Il GDPR stabilisce quindi che il provider cloud, in veste di responsabile del trattamento, può avere accesso ai dati degli utenti per gestire il servizio, ma solo per le finalità previste e in totale trasparenza.

Nel contesto, il GDPR impone ai cloud provider di adottare misure di sicurezza tecniche e organizzative al fine di prevenire i data breach, ovvero una violazione della sicurezza che comporta la perdita, la distruzione, la modifica o la divulgazione non autorizzate di dati personali.

GDPR e Data Breach

Nel corso degli anni sono avvenute diverse violazioni di dati ai danni di importanti aziende e dei loro clienti, con conseguente mancato rispetto del GDPR. Vediamone insieme qualcuno avvenuto negli ultimi anni:

• Marriott International (2018)

Nel 2018 Marriott International, una delle più grandi catene di hotel a livello mondiale, ha subito un data breach, che ha coinvolto i dati di 339 milioni di clienti. 

Si è scoperto che la violazione era avvenuta già dal 2014 sul database di un’azienda acquistata da Marriott International nel 2016. Gli hacker sono riusciti ad accedere ai dati infiltrandosi nel sistema grazie a credenziali rubate e l’uso di malware e hanno potuto agire indisturbati per anni.

La società è stata multata per circa 20.4 milioni di euro dall’ ICO (Information Commisioner’s Officer), che ha riscontrato violazioni del GDPR da parte di Marriott International. L’azienda è stata trascinata in tribunale anche dai clienti vittime del furto di dati.

• British Airways (2018)

Sempre nel 2018 anche British Airways, uno dei colossi delle compagnie aeree a livello mondiale, ha subito una violazione di dati dalla durata di circa 7 mesi e che ha compromesso le informazioni personali di all’incirca 400 mila clienti. Gli hacker, attraverso l’uso di un codice corrotto, hanno compromesso il sito e l’app dell’azienda.

L’ICO, responsabile dell’applicazione del GDPR sul suolo britannico, ha imposto alla British Airways una multa di circa 20 milioni di euro, sottolineando, tra le altre cose, come l’azienda abbia fallito nell’implementare misure tecniche e organizzative volte alla prevenzione di accessi non autorizzati, oltre che aver tardato nel notificare le vittime dell’avvenuta violazione.

• Vastaamo (2020)

Vastaamo, un centro di psicoterapia finlandese, nel 2020 ha subito un data breach che ha portato all’esposizione di oltre 33 mila pazienti. Nonostante non sia possibile dimostrarlo in maniera effettiva, questa violazione viene associata all’infrastruttura cloud dell’azienda; inoltre, in seguito alle indagini, venne evidenziato come i sistemi di sicurezza di Vastaamo fossero inadeguati: mancava la crittografia e l’accesso root non aveva una password definita.

L’autorità finlandese per la protezione dei dati ha inflitto all’azienda una multa di circa 600 mila euro per la violazione del GDPR. 

Il data breach e le sue conseguenze hanno fortemente influenzato la compagnia, che ha dichiarato bancarotta nel 2021.

• Gravy Analytics (2025)

A gennaio dell’anno corrente, Gravy Analytics, un’azienda che si occupa di brokeraggio di dati di localizzazione, ha annunciato di aver subito un data breach che ha portato al furto di dati di milioni di persone.Gli accertamenti da parte della compagnia  e delle autorità sono ancora in corso, ma questo caso si potrebbe configurare come una violazione del GDPR.

Conclusione

Pare ovvio quanto sia importante che le realtà che trattano dati personali di utenti, clienti e, ovviamente, anche dei propri dipendenti, adottino le misure necessarie per proteggerli: i data breach sono una vera e propria minaccia e un’emergenza reale che può portare gravi danni, economici e reputazionali alle aziende e le organizzazioni coinvolte.