Richiedi una consulenza in studio gratuita!

La sicurezza in Internet per i dati personali


Quando navighiamo in internet e ci registriamo in un’area ad accesso riservato di un sito web, dobbiamo sempre verificare se l’area è protetta
La sicurezza in Internet per i dati personali

Quando navighiamo in internet, e ci registriamo in un’area ad accesso riservato di un sito web, dobbiamo sempre verificare se l’area è protetta. Come fare? È semplice, basta verificare che la URL contenga il protocollo https:// e non quello http://.

In particolare, tramite l’uso del protocollo HTTPS si garantisce il rispetto di uno dei principi alla base del GDPR: il principio di integrità e riservatezza (art.5 par.1 lett.f).

“I dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Questo ragionamento è alla base del provvedimento di ingiunzione di pagamento del Garante della Protezione dei Dati nei confronti di Servizio Idrico Integrato S.c.p.a., a cui chiede 15.000€ per non aver rispettato gli artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento.

Tutto nasce dal reclamo di un utente con il Garante Privacy sulla mancanza del protocollo HTTPS all’interno dell’area riservata.

Per rispettare il principio di “integrità e riservatezza” (art.5 par.1 lett.f), l’art. 32 par.1 del Regolamento prevede che il titolare del trattamento, “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.

Inoltre, per il principio di “Privacy by Design”, in fase di progettazione e realizzazione di un sito internet, il titolare deve (cfr. le Linee guida 4/2019 sull’articolo 25, spec. punto 85):

  • valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;
  • proteggere i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.

Già in passato l’Autorità, si è espressa sul significato di “protezione dei dati personali” ai fini dell’integrità e della riservatezza dei dati, affermando che l’interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer), garantendo una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell’interazione web con normali protocolli http in chiaro.( v., tra gli altri, provv.ti 10 giugno 2021, n. 235, doc. web n. 9685922; 2 dicembre 2021, n. 422, doc. web n. 9734884; 2 dicembre 2021, n. 423, doc. web n. 9734934; 27 gennaio 2022, n. 34, doc. web n. 9746448; 24 marzo 2022, n. 107, doc. web n. 9767635; 26 maggio 2022, n. 201, doc. web n. 9790365).

L’utilizzo di tecniche crittografiche, allo stato dell’arte, è, infatti, una delle misure comunemente adottate per proteggere, in particolar modo, le credenziali di autenticazione degli utenti di un servizio online durante la loro trasmissione su rete internet; ciò tenuto conto degli elevati rischi presentati dal trattamento di tali dati, che possono derivare dall’accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell’abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a diversi servizi online.

Questa informazione va tenuta in considerazione quando si sta progettando un sito, specialmente se ha un’area riservata; infatti, è sempre necessario tenere conto dei rischi che impattano sui dati, quali ad esempio il rischio di furto di identità, di possibile clonazione del sito web a scopo di phishing e di acquisizione delle credenziali di autenticazione per fini illeciti.

Articolo del:



L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse

Altri articoli del professionista

Come la data privacy può aumentare la reputazione aziendale

Una recentissima ricerca rivela il forte impatto che la data privacy può avere sui profitti aziendali, contribuendo a costruire la fiducia dei consumatori

Continua

Google Analytics e la difficile conformità al GDPR

L'Europa contro Google Analytics. Aumentano i pareri contrari al sistema di Google

Continua

Perché l'azienda deve adeguarsi e rispettare il GDPR

Rispettare il GDPR conviene. L'azienda può approfittare del PNRR e della spinta economica che viene data dall'Europa alla digitalizzazione

Continua

Gli impatti Privacy del decreto trasparenza in vigore dal 13 agosto 2022

A partire dal 13 agosto 2022 diventerà operativo il Decreto Legislativo 27 giugno 2022, n. 104. Vediamo quali sono gli impatti dal punto di vista protezione dei dati

Continua

Il Registro delle opposizioni: cos'è e come funziona

Dal 27 luglio è operativo il “nuovo” registro pubblico delle opposizioni (RPO) con cui opporsi alle telefonate per vendite o promozioni commerciali. Vediamolo meglio

Continua