Indagare sulla cosiddetta apocalisse della privacy di Yahoo

Ricalcolato: Sanzioni sotto il GDPR

Se il GDPR fosse già applicabile - cosa che avverrà solo a partire dal 25 maggio 2018 - e Yahoo non avesse denunciato il furto dei dati personali di 500 milioni di utenti a un'autorità di protezione dei dati entro 72 ore, l'azienda andrebbe incontro a pesanti sanzioni.

Una violazione dell'obbligo di notifica sancito dall'articolo 33 del GDPR può comportare sanzioni pari al due per cento del fatturato globale annuo. Il fatturato di Yahoo ha superato i 4,5 miliardi di dollari negli ultimi anni.

Con l'obbligo di applicare il GDPR, Yahoo dovrebbe quindi trasferire almeno 90 milioni di dollari all'UE.

E poi Verizon, con un fatturato annuo di più di 130 miliardi di dollari, è in procinto di acquistare Yahoo. Se l'acquisizione fosse già stata completata, Verizon dovrebbe fare i conti con una penalità del due per cento dei 134 miliardi, o circa 268 milioni di dollari.

Cosa impariamo da questo? Le grandi aziende multinazionali e statunitensi con una presenza globale su internet dovrebbero ora prendere precauzioni in caso di un incidente di sicurezza simile a quello di Yahoo dopo il 25 maggio 2018.

Qui Un altro link a punti importanti riguardanti il GDPR

(Fonte: Varonis)

Tra molte altre incongruenze in questo incidente, è abbastanza sorprendente che Yahoo sapeva già di questo incidente di sicurezza in estate. Dopo tutto, i dati degli utenti erano già stati messi in vendita sulla darknet. I dati rubati sembrano risalire a un attacco avvenuto nel 2014. Si tratta quindi di un'evidente violazione dell'obbligo di segnalazione.

Persone fisiche interessate?

L'unica legge federale degli Stati Uniti che impone un rigoroso obbligo di segnalazione si applica solo alle informazioni mediche personali detenute da "entità coperte dalla legge" come le compagnie di assicurazione, gli ospedali e i fornitori di assistenza sanitaria. Questa legge è l'Health Insurance Portability and Accountability Act, o HIPAA.

Così il governo degli Stati Uniti non ha modo di sanzionare Yahoo a causa della segnalazione estremamente tardiva dell'incidente di sicurezza. Ci sono leggi in 47 stati americani che richiedono la segnalazione obbligatoria. Questi si applicherebbero qui, ma la sanzione di solito dipende dal rispettivo danno ai consumatori, che è difficile da provare in termini concreti.

L'unica eccezione, come sempre, è la California, dove si trova il quartier generale di Yahoo. Lì, l'accesso non autorizzato ai dati deve essere segnalato immediatamente dopo che se ne viene a conoscenza. Yahoo sta quindi affrontando una visita del procuratore generale della California.

Controllo da parte dell'Unione Europea?

Si potrebbe pensare che l'Unione europea sia più severa degli Stati Uniti in materia di violazione dei dati. Ma la direttiva europea sulla protezione dei dati, attualmente in vigore, non prevede alcun obbligo di segnalare gli incidenti di sicurezza. Questo è stato anche uno dei motivi per la stesura del regolamento generale sulla protezione dei dati, che si applicherà da maggio 2018.

Conseguenze legali

È possibile, tuttavia, che Yahoo non se la caverà completamente senza problemi nell'UE: La direttiva sulla protezione dei dati richiede misure di sicurezza adeguate (articolo 16). Yahoo potrebbe quindi essere teoricamente perseguita per misure inadeguate di protezione dei dati.

Tuttavia, Yahoo è una società statunitense i cui server per la raccolta dei dati si trovano principalmente al di fuori dell'UE. Quindi può darsi che il lungo braccio della direttiva sulla protezione dei dati non sia abbastanza lungo dopo tutto. Quindi la situazione è tutt'altro che chiara.

Se volete saperne di più sulla misura in cui l'attuale direttiva sulla protezione dei dati si applica anche alle aziende non UE, allora troverete una buona analisi della situazione giuridica in questo post del blog.

Panoramica delle norme sulla protezione dei dati nell'UE, si può anche trovare nel Whitepaper da Varonis.