>>>Leggi Ordinanza ingiunzione n. 328 del 6 ottobre 2022<<<
1. I fatti
Il provvedimento oggetto di commento origina da un reclamo avanzato al Garante per la protezione dei dati personali da un utente dell’azienda locale di servizio idrico, il quale segnalava che sul sito web di detta azienda venivano trattati dati personali, quali i dati di contatto dell’utente e le fatture emesse per il servizio idrico, senza che fosse applicato un sistema di cifratura adeguato per l’accesso al sito. Il reclamante, inoltre, faceva presente di aver segnalato la questione all’azienda due volte tramite PEC, senza però aver ricevuto alcun riscontro dalla stessa.
Il Garante, quindi, provvedeva ad effettuare un accertamento d’ufficio sul sito web, dal quale emergeva l’uso del protocollo di rete http.
Ritenendo possibile una violazione della normativa in materia di privacy, il Garante notificava all’azienda l’avvio del procedimento nei suoi confronti e la invitava a fornire scritti difensivi.
Nella propria memoria difensiva, l’azienda sosteneva che l’area del sito web dove venivano trattati i dati anagrafici e di fatturazione degli utenti, era riservata soltanto agli utenti che avevano un contratto di fornitura attivo con l’azienda e che gli stessi vi potevano accedere solo dopo aver utilizzato le credenziali di accesso (costituite da nome utente e password).
In secondo luogo, l’azienda sosteneva che nessuno degli utenti aveva comunicato violazioni dei propri dati personali, a causa dell’uso del protocollo http del sito web dell’azienda, che potessero generare lesioni all’integrità, riservatezza e disponibilità dei detti dati trattati tramite il sito web e che da un’analisi degli accessi effettuata dall’azienda era emerso che, nel periodo di riferimento, non vi erano stati tentativi o violazioni dei suddetti dati.
In terzo luogo, l’azienda faceva presente che l’azienda aveva integralmente completato il passaggio al nuovo sito web, dove era stato adottato un protocollo di cifratura HTTPS e che tale trasmigrazione era iniziata prima che il Garante notificasse l’avvio del procedimento (proprio a dimostrazione del fatto che l’azienda stava autonomamente verificando i propri standard di protezione e li stava aggiornando).
Infine, l’azienda rilevava che la contestazione aveva ad oggetto una condotta colposa, in quanto non vi era alcuna consapevolezza e intenzione di porre in essere la violazione da parte dell’azienda e che comunque i dati personali oggetto di contestazione non rientravano fra quelli appartenenti alle categorie particolari, ma erano dati comuni (come il nome, cognome, codice fiscale, partita iva, indirizzo email, numero telefonico, prospetti di fatturazione), e non vi erano altresì dati relativi a transazioni economiche (in quanto gli utenti non potevano pagare le bollette online o attivare domiciliazioni bancarie).
Potrebbero interessarti anche
- Utilizzo di un protocollo di rete non sicuro: il Garante interviene
- Strategia nazionale per la cybersicurezza: approvato il protocollo 2022-2026, nuove sfide e opportunità
- Quando l’algoritmo informatico è applicato nel procedimento amministrativo
2. Le valutazioni del Garante
In primo luogo, il Garante ha ricordato che il Regolamento europeo per la protezione dei dati personali (GDPR), stabilisce che il trattamento deve essere effettuato nel rispetto del principio di integrità e di riservatezza dei dati, in modo da garantire un’adeguata sicurezza dei medesimi da possibili trattamento non autorizzati o illeciti e dalla loro perdita accidentale, anche attraverso la loro protezione mediante misure tecniche e organizzative adeguate.
In virtù del suddetto principio, inoltre, il titolare del trattamento deve adottare le misure tecniche e organizzative che siano idonee a garantire un livello di sicurezza dei dati adeguato rispetto al rischio che gli stessi presentano: in particolare, il GDPR, fra tali misure, prevede espressamente anche la cifratura dei dati personali.
L’adozione di tali misure deve essere valutata dal titolare del trattamento fin dal momento della progettazione del trattamento stesso: infatti, il titolare, fin dal momento in cui progetta il trattamento e determina i mezzi per effettuarlo, deve mettere in atto le adeguate misure tecniche e organizzative di protezione dei dati (c.d. principio della privacy by design).
Inoltre, il titolare del trattamento deve altresì valutare in maniera costante, durante tutti i momenti in cui viene effettuato il trattamento, se le misure di protezione dei dati siano ancora adeguati e contrastino effettivamente le vulnerabilità esistenti.
Tali obblighi a carico del titolare di mantenere, verificare e aggiornare il trattamento riguarda anche i sistemi che sono stati progettati prima dell’entrata in vigore del GDPR, che pertanto devono essere sottoposti a verifiche e manutenzioni per garantire che siano applicate delle misure di protezione dei dati che rispettino i principi di cui sopra in maniera efficace.
Infine, il Garante ha ricordato che, rispetto al principio di integrità e riservatezza dei dati, il titolare deve valutare i rischi per la sicurezza dei dati personali trattati, in base a quali conseguenze tali rischi possono avere sui diritti e le libertà degli interessati, e poi contrastare in maniera efficace i rischi che ha eventualmente individuato. Inoltre, deve proteggere detti dati da modifiche e da accessi non autorizzati e accidentali durante il loro trasferimento.
3. La decisione del Garante
Dall’istruttoria è emerso che il titolare del trattamento ha utilizzato un sistema di accesso al sito web aziendale mediante il protocollo di rete http e che nella pagine principale del sito web erano presenti i moduli per inserire le credenziali di autenticazione degli utenti, mentre all’interno della sezione “anagrafica” dell’area personale era consultabili i dati personali dell’utente (precisamente codice cliente, nome, cognome, numero di telefono, indirizzo email, codice fiscale, partita IVA, indirizzo di residenza, tipo di servizio erogato e le fatturazioni).
Il Garante ha quindi evidenziato come detta autorità aveva già più volte affermato che l’interazione di un utente con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici SSL, in modo da garantire una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell’interazione web con normali protocolli http in chiaro.
Invece, il protocollo http non garantisce la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server dove è ospitato il sito web dell’azienda ed inoltre non consentiva agli utenti di verificare l’autenticità del sito web visualizzato (con possibili rischi di furto di identità, di phishing e di furto di credenziali).
Pertanto, il Garante ha ritenuto che la misura tecnica scelta dall’azienda per proteggere i dati non era idonea a garantire un livello di sicurezza adeguato rispetto ai rischi possibili collegati al trattamento.
L’azienda, invece, avrebbe dovuto adottare, fin dalla progettazione del proprio sito web, delle misure di protezione più adeguate e fra queste l’adozione di un protocollo di rete sicuro quale quello HTTPS.
In considerazione di tutto quanto sopra, il Garante ha ritenuto di poter applicare una sanzione di carattere pecuniario nei confronti del titolare del trattamento nella misura di €. 15.000,00 (quindicimila).
Volume consigliato
Manuale operativo del D.P.O.
L’opera giunge alla sua seconda edizione e mantenendo l’impostazione originaria del libro vengono approfonditi diversi aspetti legati ai compiti ed alle attività del DPO.In particolare si è tenuto conto delle ultime linee guida EDPB sulle figure soggettive del GDPR, sulla videosorveglianza, sui principi della privacy by design e by default e sui trasferimenti dei dati personali presso Paesi terzi, nonché di alcune importanti sentenze del giudice amministrativo sui ruoli e le funzioni del DPO e di rilevanti provvedimenti dell’Autorità in tema di DPIA, Data Breach e Registro delle attività di trattamento.Il formulario è stato ulteriormente arricchito e rinnovato alla luce degli interventi dell’Autorità Garante, di Organismi Comunitari e naturalmente dell’esperienza acquisita in materia.Nel libro, quindi, viene dato ulteriore risalto alla figura professionale di indubbio rilievo del DPO designata in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, nonché della capacità di adempiere ai propri compiti.Michele IaselliAvvocato, funzionario del Ministero della Difesa, docente a contratto di Informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento