Da qualche anno Google ha avviato una campagna di penalizzazione per tutti i siti che da un protocollo HTTP (HyperText Transfer Protocol) non erano migrati in HTTPS tramite un certificato SSL. In altri termini, l’idea di essere sfavoriti nelle ricerche di Google è il principale motivo per un’azienda di spostare il proprio sito web su un protocollo HTTPS. Il Garante Privacy, però, ha affrontato nuovamente le problematiche legate alla sicurezza della trasmissione di dati su protocollo http, nel caso del sito web del Servizio Idrico Integrato S.c.p.a. (Ordinanza ingiunzione nei confronti di Servizio Idrico Integrato S.c.p.a. – 6 ottobre 2022 doc. web n. 9817058)
Indice
Il caso
Un utente dell’azienda Servizio Idrico Integrato S.c.p.a. (titolare del trattamento) manda un reclamo al Garante lamentando che sul sito web dell’Azienda sarebbe presente un’area utente in cui sono gestite contatti e fatture, in assenza di un sistema di cifratura (certificato SSL). Ad aggravare la posizione del titolare, poi, la circostanza che l’utente avrebbe segnalato il fatto per due volte al titolare senza aver ricevuto risposta.
Nel procedimento viene accertato l’utilizzo di un protocollo di rete non sicuro (quale il protocollo “http”) sul sito web in questione.
Le norme violate
Per rispettare il principio di “integrità e riservatezza” (art.5 par.1 lett.f), l’art. 32 par.1 del Regolamento prevede che il titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, la cifratura dei dati personali”.
Non solo.
Il principio di “Privacy by Design” prevede che in fase di progettazione e realizzazione di un sito internet, il titolare debba (cfr. le Linee guida 4/2019 sull’articolo 25):
- valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;
- proteggere i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.
Il giudizio del Garante
L’Autorità, quindi ha accertato che l’accesso al sito web dell’Azienda dedicato ai “servizi online” (raggiungibile all’indirizzo http://…) avveniva tramite il protocollo di rete “http” (hypertext transfer protocol). Inoltre, nella pagina principale del sito web erano presenti i moduli per l’inserimento delle credenziali di autenticazione (nome utente e password) degli utenti, mentre nella sezione “Anagrafica” dell’area personale sul sito web in questione sono consultabili dati personali dell’utente, quali il codice cliente, il nome e cognome, il numero di telefono, il codice fiscale, l’eventuale partita IVA, l’indirizzo di posta elettronica, l’indirizzo di residenza e il tipo di servizio erogato. All’interno della sezione “Fatture” è anche possibile visualizzare e scaricare le fatture emesse dalla Società a fronte dei servizi erogati all’utente.
L’Autorità aveva già affermato che l’interazione di un utente con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici SSL (Secure Socket Layer), garantendo una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell’interazione web con normali protocolli http in chiaro (per tutti si veda il provvedimento 10 giugno 2021, n. 235, doc. web n. 9685922).
L’accesso al sito web in questione con un protocollo di rete “http” (hypertext transfer protocol), quindi non garantiva la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server che ospita il sito web dell’Azienda, e non consentiva agli utenti di verificare l’autenticità del sito web visualizzato. Per l’Autorità, tenuto conto della natura, dell’oggetto e della finalità del trattamento, nonché dei rischi che insistono sui dati, tra cui il rischio di furto di identità, di possibile clonazione del sito web a scopo di phishing e di acquisizione delle credenziali di autenticazione per fini illeciti, la soluzione adottata dall’Azienda non poteva, pertanto, essere considerata una misura tecnica idonea a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento.
Il Garante, poi sottolinea come la Società avrebbe dovuto mettere in atto, fin dalla progettazione del proprio sito web, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, tra cui il principio di “integrità e riservatezza”, provvedendo ad adottare un protocollo di rete sicuro, quale il protocollo “https” (hypertext transfer protocol over secure socket layer).
La quantificazione della sanzione
Un provvedimento di ingiunzione di pagamento del Garante della Protezione dei Dati nei confronti di Servizio Idrico Integrato S.c.p.a., a cui chiede 15.000 euro per non aver rispettato gli artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento.
Tra gli elementi considerati nella quantificazione della sanzione, il numero di utenti (13000) e l’inerzia del titolare del trattamento a fronte di due segnalazioni dell’interessato. A favore del titolare, viceversa, la collaborazione nel corso dell’istruttoria e le misure adottate una volta avviato il procedimento avanti il Garante.
Considerazioni finali
Nella nostra attività, ancora molto spesso ci capita di segnalare l’assenza del protocollo HTTPS sul sito web, misura tanto semplice, quanto basilare.
Si tratta, infatti, di una misura di sicurezza che, se violata, oltre a mettere a rischio i dati degli utenti che si collegano al sito e usano i suoi servizi online, può comportare anche una violazione del GDPR e sgradevoli sanzioni, come nel caso in esame.
Da non sottovalutare l’applicazione di questa semplice misura anche in siti semplici o così detti “vetrina”. Infatti, la sola presenza di un modulo contatti può determinare la trasmissione di informazioni personali.