Mastercard obbligata a denunciare una violazione dei dati subita da una terza parte partner
La notizia di pochi giorni fa ha già fatto il giro del mondo. Mastercard Inc.’s European Unit ha infatti notificato alle Autorità garanti belga e tedesche una violazione dei dati subita presumibilmente il 19 agosto. Si tratta di “Priceless Specials” e il furto di dati riguarderebbe circa 90mila utenti.
Secondo quanto riportato dal famoso quotidiano Bloomberg, l’autorità belga ha affermato che “l’episodio avrebbe colpito un “gran numero” di persone e che “una parte significativa” di loro avrebbe essere clienti tedeschi.”
Il Garante tedesco ha sottolineato tuttavia che Mastercard Europe SA stava indagando e aveva già preso provvedimenti correttivi e cancellato tutti i dati personali che erano stati pubblicati online.
Le nuove norme, introdotte con il Regolamento oramai noto GDPR, impongono alle società di notificare alle autorità competenti le eventuali violazioni subite entro 72 ore dalla loro scoperta e obbliga gli stessi a notificare l’accaduto agli utenti interessati nel caso in cui la violazione costituisca un potenziale rischio per gli stessi.
Mastercard ha dichiarato in un comunicato che l’incidente “has no connection to Mastercard’s payment transaction network.” ed ha aggiunto che “there was an event involving the Specials loyalty platform in Germany managed by a third-party vendor, which resulted in the unauthorized distribution of certain information.”
Di qui si deduce l’importanza delle terze parti che sono coinvolte nei processi di Business. Proprio queste terze parti, come in questo caso, hanno una diretta incidenza sull’azienda madre specialmente in caso di incidente informatico come un data theft.
David Stevens, presidente dell’Autorità belga per la protezione dei dati, ha dichiarato che l’agenzia ha “ricevuto molte domande e reclami dall’annuncio di questo incidente” ed ha voluto rassicurare tuttiu gli utenti. “Abbiamo contattato Mastercard per ottenere ulteriori informazioni” e l’autorità di regolamentazione “sta seguendo questo caso da vicino con l’autorità di protezione dei dati tedesca e tutte le altre possibili autorità interessate”.
Fonte: Bloomberg
