L’interazione degli utenti con un sito web dovrebbe essere protetta con protocolli crittografici (come quello “https”) ai fini della trasmissione di dati personali, in modo che venga scongiurato il rischio di furti d’identità, ed al fine di garantire un’adeguata tutela degli stessi dati. E’ quanto ha ribadito il Garante per la Privacy, a margine della sanzione da 15mila euro comminata ad un’azienda fornitrice di servizi idrici, per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web.
Perché è stata multata l’azienda
Come si legge nella newsletter del Garante, a seguito di un reclamo l’Autorità ha accertato che l’accesso al sito web dell’azienda dedicato ai “servizi online” avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro. Diversi i dati personali dei clienti che transitavano attraverso questo canale, dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite Iva, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione.
Violato il principio di “integrità e riservatezza”
La soluzione adottata dall’azienda violava importanti principi sanciti dal Regolamento, come quello sull’ “integrità e riservatezza” dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione”, secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate.
Azienda collaborativa in fase di istruttoria
Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento (25 maggio 2018). Nel sanzionare l’azienda per 15mila euro, l’Autorità ha tenuto conto dell’alto numero di utenti coinvolti (circa 13mila) e del fatto che, sebbene l’autore del reclamo avesse fatto presente all’azienda in due occasioni l’insufficienza delle misure di sicurezza adottate, questa non si era prontamente attivata fino all’apertura dell’istruttoria. Di contro, il Garante ha tenuto in considerazione che l’azienda non aveva commesso precedenti violazioni analoghe, e che ha avuto un atteggiamento collaborativo nel corso dell’istruttoria.
