Il Garante Privacy ha sanzionato il Servizio Idrico Integrato S.c.p.a. perché il suo sito non ha https (HyperText Transfer Protocol over Secure Socket Layer).
Una misura di sicurezza base ma ancora non abbastanza diffusa. Eppure è un problema e anche un illecito privacy, per il Gdpr.
Troppi siti ancora non rispettano una misura di sicurezza base, il protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer).
Una misura di sicurezza che, se violata, oltre a mettere a rischio i dati degli utenti che si collegano al sito e usano i suoi servizi online, può comportare anche una violazione del GDPR.
È quello che impariamo anche dalla lettura del nuovo provvedimento con cui il Garante Privacy ha sanzionato il Servizio Idrico Integrato S.c.p.a..
La sanzione del Garante Privacy al Servizio Idrico Integrato
Un provvedimento di ingiunzione di pagamento del Garante della Protezione dei Dati nei confronti di Servizio Idrico Integrato S.c.p.a., a cui chiede 15.000 euro per non aver rispettato gli artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento.
Tutto nasce dal reclamo di un utente con il Garante Privacy sulla mancanza del protocollo HTTPS all’interno dell’area riservata.
Per rispettare il principio di “integrità e riservatezza” (art.5 par.1 lett.f), l’art. 32 par.1 del Regolamento prevede che il titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.
Inoltre, per il principio di “Privacy by Design”, in fase di progettazione e realizzazione di un sito internet, il titolare deve (cfr. le Linee guida 4/2019 sull’articolo 25, spec. punto 85):
- valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;
- proteggere i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.
Cosa impariamo dal nuovo provvedimento
Già in passato l’Autorità, si è espressa sul significato di “protezione dei dati personali” ai fini dell’integrità e della riservatezza dei dati, affermando che l’interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer), garantendo una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell’interazione web con normali protocolli http in chiaro.( v., tra gli altri, provv.ti 10 giugno 2021, n. 235, doc. web n. 9685922; 2 dicembre 2021, n. 422, doc. web n. 9734884; 2 dicembre 2021, n. 423, doc. web n. 9734934; 27 gennaio 2022, n. 34, doc. web n. 9746448; 24 marzo 2022, n. 107, doc. web n. 9767635; 26 maggio 2022, n. 201, doc. web n. 9790365).
L’utilizzo di tecniche crittografiche, allo stato dell’arte, è, infatti, una delle misure comunemente adottate per proteggere, in particolar modo, le credenziali di autenticazione degli utenti di un servizio online durante la loro trasmissione su rete internet; ciò tenuto conto degli elevati rischi presentati dal trattamento di tali dati, che possono derivare dall’accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell’abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a diversi servizi online.
Questa informazione va tenuta in considerazione quando si sta progettando un sito, specialmente se ha un’area riservata; infatti, è sempre necessario tenere conto dei rischi che impattano sui dati, quali ad esempio il rischio di furto di identità, di possibile clonazione del sito web a scopo di phishing e di acquisizione delle credenziali di autenticazione per fini illeciti.
HTTPvsHTTPS, qual è la differenza tra i due protocolli
Il protocollo di trasmissione HTTP (HyperText Transfer Protocol), in telecomunicazioni e informatica è un protocollo a livello applicativo usato come principale sistema per la trasmissione d’informazioni sul web ovvero in un’architettura tipica client-server. Essendo un protocollo a livello applicativo, questo si focalizza esclusivamente sulla trasmissione dei dati, senza preoccuparsi del modo in cui le informazioni viaggiano da un luogo a un altro, quindi i dati viaggiano “in chiaro”, senza cifratura e possono essere facilmente intercettabili (tipico attacco Man in the Middle).
Il protocollo di trasmissione HTTPS (HyperText Transfer Protocol over Secure Socket Layer) per alcuni versi simile al precedente, garantisce però la protezione dei dati dal client al server. Esso, infatti, consente una comunicazione tramite il protocollo HTTP (Hypertext Transfer Protocol) all’interno di una connessione criptata; questo garantisce:
- un’autenticazione del sito web visitato (infatti ogni sito in https deve avere un certificato fornito da una Certificati on Authority);
- una protezione della privacy (riservatezza o confidenzialità);
- l’integrità dei dati scambiati tra le parti comunicanti.
In particolare, tramite l’uso del protocollo HTTPS si garantisce il rispetto di uno dei principi alla base del GDPR: il principio di integrità e riservatezza (art.5 par.1 lett.f).
“I dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
