Attenzione: protocolli sicuri obbligatori “Https”

Intervenuto in seguito ad un reclamo il Garante Privacy ha accertato che l’accesso al sito web di un’azienda dedicato ai “servizi online”, avveniva tramite il protocollo di rete “http” (non crittografato e non sicuro).

Diversi i dati personali dei clienti che transitavano mediante tale canale, dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione.

“La soluzione adottata dall’azienda violava importanti principi sanciti dal Regolamento come quello di “integrità e riservatezza” dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione”, secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate.”

Oltre ad aver sanzionato l’azienda fornitrice di servizi idrici per 15.000 euro, per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web, il Garante ha precisato che per scongiurare il rischio di furti d’identità e garantire una adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello “https”).

Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento (25 maggio 2018).

Nel sanzionare l’azienda l’Autorità ha tenuto che:

  • il numero di utenti coinvolti era alto (circa 13.000)
  • sebbene il reclamante avesse fatto presente all’azienda in due occasioni l’insufficienza delle misure di sicurezza adottate, questa non si era prontamente attivata fino all’apertura dell’istruttoria.
  • l’azienda non aveva commesso precedenti violazioni analoghe, e aveva avuto un atteggiamento collaborativo nel corso dell’istruttoria.

Fonti: Provvedimento n. 328 del 6 ottobre 2022 del Garante per la protezione dei dati personali.

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

ASSOCIATI