Il gruppo Strawood, la catena di alberghi che controlla gli Sheraton, i Westin ed i St. Regis e che fa parte del megagruppo Marriott International, ha subìto un attacco informatico: sembra che siano stati sottratti tutti i dati personali che si possono sottrarre ad un albergo (dati anagrafici, numero di carta di credito, indirizzi email, ecc.). Solo che, in questo caso, stiamo parlando di un attacco persistente, almeno qualche anno, e di milioni di clienti, almeno 200.
È l’occasione giusta per inquadrare la rilevanza delle recenti Guidelines 3/2018 on the territorial scope of the GDPR poste in consultazione pubblica il 16 novembre scorso dall’EDPB. Il documento approfondisce l’art. 3 del GDPR ovvero l’ambito territoriale di applicazione del GDPR che, com’è noto, non coincide con i confini fisici dell’Unione Europea.
Le linee guida, tra le altre questioni, affronta la definizione di interessato (cioè chi ha diritto a ricevere le tutela del GDPR) che è “chiunque si trovi nell’Unione Europea”. Quindi, non solo i cittadini degli Stati Membri ma anche i turisti extra‑UE o gli immigrati, se vengono offerti loro prodotti o servizi. Questo significa, applicato al caso di Starwood, che la società aveva l’obbligo di garantire i suoi clienti applicando ai loro dati personali le prescrizioni del GDPR, a prescindere dalla sua sede legale che, a quanto pare, si trova negli Stati Uniti.
Il mondo è piccolo, soprattutto per le multinazionali.