Sanzionata un’azienda erogatrice di servizi idrici per non aver dotato il proprio sito web di protocolli di trasmissione dati sicuri, violando gli obblighi imposti dal Regolamento europeo riguardo l’adozione di misure di sicurezza del trattamento adeguate.
Lo scorso 6 ottobre, con provvedimento n. 328/2022, l’Autorità Garante per la Protezione dei Dati Personali ha sanzionato un’azienda operante nell’ambito dell’erogazione di servizi idrici – per un importo pari a 15 mila euro – per non essersi dotata di misure di sicurezza adeguate ed idonee a garantire una navigazione sicura agli utenti registrati che accedevano alla propria area riservata.
Dagli accertamenti posti in essere, l’Autorità ha riscontrato che l’accesso all’area riservata e ai servizi online del sito avvenivano tramite un protocollo di rete non crittografato e, dunque, non sicuro – nello specifico, “http” (hypertext transfer protocol). Tale sistema si è dimostrato fortemente inadeguato rispetto alla tipologia di informazioni che transitavano in quelle specifiche sezioni del sito web – credenziali di accesso, dati identificativi e di contatto (tra cui codici fiscali e/o partite IVA) e informazioni relative alla fatturazione – che sono risultati, pertanto, fortemente esposti a rischio Data Breach.
Le violazioni riscontrate
Le soluzioni tecniche adottate dalla società si sono dunque rivelate insufficienti, in violazione dell’art. 5, par. 1, lettera f) del GDPR, che impone al titolare di effettuare trattamenti che garantiscano l’integrità e la riservatezza dei dati attraverso la predisposizione di misure tecniche ed organizzative adeguate che consentano di contrastare e prevenire i rischi legati a trattamenti illeciti o alla perdita, distruzione o danno accidentali delle informazioni.
Conseguentemente, l’Autorità ha riscontrato la violazione dell’art. 25, par. 1 e 32 del GDPR in quanto il titolare del trattamento, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, avrebbe dovuto prevedere (al momento di determinare i mezzi del trattamento) e adottare (all'atto del trattamento stesso) misure tecniche e organizzative adeguate ad attuare in modo efficace i principi di protezione dei dati.
L’applicabilità del GDPR
Poiché il trattamento sottoposto dell’esame dell’Autorità ha avuto inizio prima dell’entrata in vigore della disciplina europea in materia di protezione dei dati personali, ma si è protratto fin oltre l’entrata in vigore, rispettivamente, del Regolamento UE 2016/679 (“GDPR”) e del D.Lgs. n. 101/2018 – modificativo del D.Lgs. n. 196/2003 (“Codice Privacy”) – sono a questo applicabili i principi sanciti dal GDPR e le sanzioni in esso previste.
In particolare, l’azienda avrebbe dovuto mantenere, verificare e aggiornare, ove necessario, il trattamento preesistente, adeguando le attività di trattamento anche dal punto di vista tecnico per garantire la sicurezza e l’integrità delle informazioni rispetto ai principi sanciti dal GDPR.
Nel caso di specie l’Autorità ha affermato che anche in vigenza del precedente quadro normativo in materia di protezione dei dati personali, [..] l’interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer), garantendo una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell’interazione web con normali protocolli http in chiaro.
Le tecniche crittografiche rappresentano una delle misure più utilizzate per proteggere le informazioni degli utenti che effettuano l’accesso su siti web che prevedono delle aree personali – nel quale sono, dunque, raccolte tutte le informazioni relative ai singoli fruitori dei servizio online – dai rischi elevati che possono derivare dall’accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell’abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a diversi servizi online.
Avv. Simona Lanna
