La sicurezza in Internet per i dati personali

Quando navighiamo in internet, e ci registriamo in un’area ad accesso riservato di un sito web, dobbiamo sempre verificare se l’area è protetta. Come fare? È semplice, basta verificare che la URL contenga il protocollo https:// e non quello http://.

In particolare, tramite l’uso del protocollo HTTPS si garantisce il rispetto di uno dei principi alla base del GDPR: il principio di integrità e riservatezza (art.5 par.1 lett.f).

“I dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Questo ragionamento è alla base del provvedimento di ingiunzione di pagamento del Garante della Protezione dei Dati nei confronti di Servizio Idrico Integrato S.c.p.a., a cui chiede 15.000€ per non aver rispettato gli artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento.

Tutto nasce dal reclamo di un utente con il Garante Privacy sulla mancanza del protocollo HTTPS all’interno dell’area riservata.

Per rispettare il principio di “integrità e riservatezza” (art.5 par.1 lett.f), l’art. 32 par.1 del Regolamento prevede che il titolare del trattamento, “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.

Inoltre, per il principio di “Privacy by Design”, in fase di progettazione e realizzazione di un sito internet, il titolare deve (cfr. le Linee guida 4/2019 sull’articolo 25, spec. punto 85):

• valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;
• proteggere i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.

Già in passato l’Autorità, si è espressa sul significato di “protezione dei dati personali” ai fini dell’integrità e della riservatezza dei dati, affermando che l’interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer), garantendo una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell’interazione web con normali protocolli http in chiaro.( v., tra gli altri, provv.ti 10 giugno 2021, n. 235, doc. web n. 9685922; 2 dicembre 2021, n. 422, doc. web n. 9734884; 2 dicembre 2021, n. 423, doc. web n. 9734934; 27 gennaio 2022, n. 34, doc. web n. 9746448; 24 marzo 2022, n. 107, doc. web n. 9767635; 26 maggio 2022, n. 201, doc. web n. 9790365).

L’utilizzo di tecniche crittografiche, allo stato dell’arte, è, infatti, una delle misure comunemente adottate per proteggere, in particolar modo, le credenziali di autenticazione degli utenti di un servizio online durante la loro trasmissione su rete internet; ciò tenuto conto degli elevati rischi presentati dal trattamento di tali dati, che possono derivare dall’accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell’abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a diversi servizi online.

Questa informazione va tenuta in considerazione quando si sta progettando un sito, specialmente se ha un’area riservata; infatti, è sempre necessario tenere conto dei rischi che impattano sui dati, quali ad esempio il rischio di furto di identità, di possibile clonazione del sito web a scopo di phishing e di acquisizione delle credenziali di autenticazione per fini illeciti.