DIMMI CHE PROTOCOLLO USI E TI DIRO’ QUALE SANZIONE TI ASPETTA

Il Garante ha sanzionato un'azienda perché usava il protocollo http e non https.

Il Garante ha sanzionato un'azienda perché usava il protocollo http e non https.

Con reclamo del XX, presentato ai sensi dell′art. 77 del Regolamento, un utente dell′azienda Servizio Idrico Integrato S.c.p.a. (di seguito, l′”Azienda”) ha lamentato la circostanza che sul sito web dell′Azienda sarebbe presente “un′area utente […] dove vengono gestiti i contatti e le fatture [in assenza di un] sistema di cifratura (certificato SSL) [, che,] come è noto, è necessario in quanto è presente un′autenticazione e transitano dati personali”. Il reclamante, che ha segnalato tale circostanza anche alla Società “per ben due volte tramite PEC in data XX e precedentemente in data XX”, senza aver ricevuto risposta, ritiene che sia stato, pertanto, violato l′“articolo 32 del [Regolamento] (Sicurezza del trattamento) in particolare il comma 2”.

L′utilizzo di un protocollo di rete non sicuro (quale il protocollo “http”) sul sito web in questione è stato accertato dall′Ufficio del Garante con relazione di servizio del XX.

Ai sensi dell′art. 5, par. 1, lett. f), del Regolamento, il trattamento di dati personali deve essere effettuato in conformità al principio di “integrità e riservatezza”, in base al quale i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Sulla base di tale principio, l′art. 32 del Regolamento prevede che il titolare del trattamento, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.

Inoltre, in base al principio di “protezione dei dati fin dalla progettazione”, formalizzato dall′art. 25, par. 1, del Regolamento, il titolare del trattamento, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, deve mettere in atto, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

Il cons. 78 del Regolamento mette in luce una precisa responsabilità del titolare, ossia quella di valutare costantemente se stia utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure scelte contrastino effettivamente le vulnerabilità esistenti. Inoltre, il titolare dovrebbe effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali.



Ciò premesso, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell′attività istruttoria, è stato accertato che l′accesso al sito web dell′Azienda dedicato ai “servizi online” (raggiungibile all′indirizzo http://...) avveniva tramite il protocollo di rete “http” (hypertext transfer protocol).

È stato, altresì, accertato che la pagina principale del citato sito web conteneva i moduli per l′inserimento delle credenziali di autenticazione (nome utente e password) degli utenti.

Inoltre, come emerge dalla documentazione agli atti, all′interno della sezione “Anagrafica” dell′area personale sul sito web in questione sono consultabili dati personali dell′utente, quali il codice cliente, il nome e cognome, il numero di telefono, il codice fiscale, l′eventuale partita IVA, l′indirizzo di posta elettronica, l′indirizzo di residenza e il tipo di servizio erogato. All′interno della sezione “Fatture” è anche possibile visualizzare e scaricare le fatture emesse dalla Società a fronte dei servizi erogati all′utente.

L′utilizzo di tecniche crittografiche, allo stato dell′arte, è, infatti, una delle misure comunemente adottate per proteggere, in particolar modo, le credenziali di autenticazione degli utenti di un servizio online durante la loro trasmissione su rete internet; ciò tenuto conto degli elevati rischi presentati dal trattamento di tali dati, che possono derivare dall′accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell′abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l′accesso a diversi servizi online.

Il mancato utilizzo di tecniche crittografiche per il trasporto dei dati configura una violazione dell′art. 5, par. 1, lett. f), e dell′art. 32 del Regolamento, il cui par. 1, lett. a), individua, peraltro, espressamente la cifratura dei dati come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio (sul punto, cfr. anche il considerando n. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”).

La mancata osservanza della normativa GDPR può comportare sanzioni di importi anche molti alti che possono mettere a serio rischio la solidità di un′azienda.
Le polizze di tutela legale possono ricoprire un ruolo importante come scudo economico per casi come quelli appena riportati.

Se vuoi sapere come integrare queste polizze nel tuo pacchetto assicurativo, clicca qua e richiedi la tua consulenza gratuita con uno dei nostri esperti del settore.