Per stimare l'impatto dell'attacco sono stati verificati oltre
330.000 indirizzi email trapelati: la gran parte sono stati
ritrovati esposti su Pastebin e Mega Cloud. La notizia peggiore è arrivata invece qualche mese dopo: il sito web in questione
non applicava alcuna misura di protezione per informazioni sensibili come le password, che finivano memorizzate sui server come normalissimo testo.
Le sanzioni nell'era del GDPR considerano svariati aspetti
Quella contro knuddels.de è stata la prima penalità in Germania (tra le primissime in Europa) comminate ai sensi del nuovo Regolamento sulla Protezione Dati dell'UE, entrato in vigore nel Maggio di quest'anno. A seconda della gravità dell'infrazione, il GDPR prevede multe fino a 20 milioni di euro o il 4% delle entrate dell'anno fiscale precedente, a seconda di quale dei due valori sia il più alto.
Nel calcolo della penalità vengono tenute in considerazione anche il numero delle persone coinvolte, la natura dell'infrazione, le azioni di mitigazione messe in atto, la cooperazione con l'Autorità di vigilanza, la notifica o meno, nei tempi e nei modi previsti per legge, della violazione.
Nel dettaglio Knuddels.de è
risultata in regola per la maggior parte dei punti sopra previsti: la sanzione è stata comminata principalmente per la violazione dell'art.32, lettera a del GDPR, che riguarda
la pseudonimizzazione e la crittografia dei dati personali degli utenti. A ridurre ulteriormente la sanzionu ha contribuito, come affermato dall'Autorità Tedesca per la protezione dei dati, la trasparenza e l'esemplare cooperazione, ma anche la rapidità di implementazione e aggiornamento di ulteriori sistemi di sicurezza. L'Autorità tedesca ha anche voluto ribadire che non v'è alcun interesse a entrare in una competizione tra Stati a chi applichi le sanzioni più alte, dato che l'obiettivo finale è migliorare la privacy e la sicurezza dei dati degli utenti.
CONDIVIDI QUESTA PAGINA!