Garante privacy: il mancato utilizzo di HTTPS è sanzionabile

Proteggere un sito Web tramite certificato SSL e connessione sicura sotto HTTPS non è fondamentale soltanto per la sicurezza dei dati veicolati contro gli attacchi man in the middle, per il posizionamento sui motori di ricerca o il miglioramento della user experience. Può rivelarsi infatti determinante per evitare sanzioni molto pesanti, pari a migliaia di euro.

La decisione del Garante

A confermarlo è una recente decisione del Garante privacy a parere del quale:

Per scongiurare il rischio di furti d'identità e garantire una adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici

Tale pronunciamento fa seguito ad una sanzione erogata contro un'azienda fornitrice di servizi idrici per ben 15 mila euro, impresa ha cui è stato imposto il pagamento

per non aver protetto adeguatamente i dati dei clienti registrati sull'area riservata del proprio sito web.

Nel caso specifico l'autorità sarebbe intervenuta a seguito di un reclamo, accertando che l'accesso ai servizi online messi a disposizione tramite il sito web veniva effettuato tramite il protocollo di rete HTTP, non crittografato e non sicuro come avviene invece con HTTPS.

Entità della sanzione e motivazioni

Nel comminare l'entità della sanzionare il Garante ha tenuto conto dell'elevato numero di utenti coinvolti, circa 13 mila, e del fatto che, l'azienda non si sarebbe attivata per l'apertura di un'istruttoria nonostante due segnalazioni ricevute da parte del reclamante. Detto questo l'impresa avrebbe comunque avuto un atteggiamento collaborativo nel corso dell'istruttoria e non sarebbe stata protagonista di violazioni analoghe in precedenza.

In questo caso, secondo quanto riportato dal Garante ad essere violati sarebbero stati alcuni principi sanciti dal Regolamento sulla privacy:

come quello di "integrità e riservatezza" dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di "protezione dei dati fin dalla progettazione"

secondo cui è necessario mettere in atto fin da subito le misure tecniche e organizzative adeguate a tutelare i dati personali degli utenti e, in seguito, effettuare revisioni periodiche delle misure di sicurezza adottate.

L'Autorità ha sottolineato inoltre che questi obblighi si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento, risalente al 25 maggio 2018, e ne sono quindi assoggettati tutti i siti web che prevedono il trattamento dei dati personali.