Lo scandalo Uber e l’importanza del GDPR

Lo scandalo Uber e l’importanza del GDPR

La multinazionale del trasporto privato Uber è nell’occhio del ciclone per uno scandalo che riguarda la gestione dei dati sensibili di milioni di autisti e clienti statunitensi. L’incidente informatico, che rapidamente sta assumendo una portata globale per quanto riguarda la risonanza sui media, è stato svelato dall’agenzia di stampa Bloomberg. I fatti si sarebbero verificati ad ottobre 2016, quando il sistema informativo di Uber ha subito un attacco informatico in grande stile.

I numeri della violazione sono da capogiro, e riguardano i dati sensibili di 50 milioni di utenti statunitensi, 7 milioni di autisti e di altre 600.000 persone. Gli hackers hanno potuto così visionare patenti, numeri di telefono, e-mail e nomi di persone la cui tutela della privacy spettava alla multinazionale di San Francisco.

La cosa più grave nell’ambito dello scandalo Uber, tuttavia, è la condotta seguita dall’azienda dopo l’attacco hacker, ovvero l’istituzione di una trattativa che ha portato al pagamento di un riscatto con importo pari a 100 mila dollari, pratica assolutamente illegale e sempre da sconsigliare in caso di attacchi hacker ad imprese. La cacciata del capo della sicurezza informatica e le rassicurazioni sulla non trasmissione dei dati riguardanti le carte di credito e i codici fiscali suonano come una magra consolazione per gli utenti danneggiati, che hanno visto violati i loro dati sensibili in un contesto in cui Uber non ha però divulgato l’identità degli hackers.

 

Con l’entrata in vigore del GDPR Uber avrebbe trattato con gli hackers?

È anche per evitare danni simili agli utenti e condotte aziendali illecite, che dal 25 maggio 2018 entrerà in vigore in Europa il General Data Protection Regulation (GDPR), che disciplina il trattamento dei dati personali nei paesi comunitari. Cosa sarebbe accaduto ad una Uber ipoteticamente europea con questa normativa in dirittura d’arrivo? Per iniziare, l’applicazione di una multa esemplare, per non avere denunciato tempestivamente alle autorità competenti l’attacco informatico e la perdita dei dati.

Considerato il fatturato 2016 della multinazionale, pari a 40 miliardi di dollari, Uber si sarebbe vista recapitare una maximulta di qualche miliardo di euro: una forte dissuasione a trattare con gli hackers (cavandosela con 100 mila dollari).

La cosa importante, tuttavia, è che il GDPR incentiva l’introduzione di una nuova architettura tecnologica e legale nelle funzioni d’impresa, per una progettazione del sistema informativo in grado di proteggere adeguatamente i dati sensibili degli utenti. Nuova responsabilità sarà data al Data Protection Officer (DPO), figura che integra competenze legali e informatiche volte a implementare la sicurezza informatica.

Mancano poco più di sei mesi all’arrivo della nuova normativa, e le aziende italiane sono chiamate ad un’accelerazione dei processi di adeguamento: secondo un’indagine condotta dall’Osservatorio Security & Privacy del Politecnico di Milano, solo il 39% delle aziende italiane ha già interpellato consulenti esterni per implementare nuovi sistemi di tutela dei dati.