LO HA DECISO IL GARANTE PER LA PRIVACY. VALE ANCHE PER I SITI PREESISTENTI AL GDPR
di Antonio Ciccia Messina
Il sito internet realizzato con il protocollo «http» (senza la «s» finale) non rispetta il Gdpr (regolamento Ue sulla privacy n. 2016/679), poiché non è sicuro contro cyberattacchi. Ed è sanzionato anche se messo in rete prima del Gdpr (25 maggio 2018). È quanto deciso dal Garante della privacy, il cui collegio è presieduto da Pasquale Stanzione.
Con il provvedimento n. 328 del 6 ottobre 2022, il Garante ha ingiunto una sanzione di 15 mila euro a un’azienda fornitrice di servizi idrici. La società aveva progettato il sito (versione «http») prima dell’inizio di operatività del Gdpr e lo aveva mantenuto così per un periodo successivo, per poi fare un salto di qualità, passando al protocollo «https». Questa tardività dell’adeguamento è stata la causa della sanzione ingiunta dal Garante. E ciò perché, come spiega lo stesso Garante nel provvedimento punitivo, anche i siti Internet preesistenti all’inizio di efficacia del Gdpr, se sono lo strumento per il trattamento di dati personali, dovevano e devono essere adeguati agli standard di sicurezza voluti dal Gdpr.
La mancata trasmigrazione a un livello più elevato di sicurezza informatica merita la sanzione, tra l’altro, anche se non si riscontra nessuna anomalia nell’uso del sito web e se sono in uso password crittografate per l’accesso ai servizi dell’area del sito riservata agli utenti.
Questo le imprese e le pubbliche amministrazioni devono capirlo bene: le violazioni del Gdpr sono punite con sanzioni amministrative, che si applicano anche alle condotte colpose, cioè realizzate senza l’intenzione e a prescindere da un effettivo danno occorso alle persone.
Nel caso specifico il Garante ha accertato che l’accesso al sito web dell’azienda in questione dedicato ai «servizi online» avveniva tramite il protocollo di rete «http» (hypertext transfer protocol). Inoltre, il sito conteneva i moduli per l’inserimento di nome utente e password degli utenti. Infine, all’interno della sezione «anagrafica» dell’area personale sul sito web erano consultabili il codice cliente, nome e cognome, numero di telefono, codice fiscale, partita Iva, indirizzo di posta elettronica, indirizzo di residenza e tipo di servizio erogato. Nella sezione «fatture» era possibile vedere e scaricare le fatture emesse all’utente.
Ma, rileva il Garante, il protocollo «http» non garantisce la riservatezza e l’integrità dei dati scambiati in rete, e non consente agli utenti di verificare l’autenticità del sito web visualizzato. Conseguenza di ciò possono essere furti di identità, clonazioni del sito a scopo di phishing e di acquisizione delle credenziali di autenticazione a fini illeciti.
Stando così le cose, poiché le misure di sicurezza non erano adeguate, all’azienda è stata ingiunta la sanzione pecuniaria.
Ciò anche se nel frattempo il sito, avviato prima del Gdpr, è diventato «https» (dove la «s» sta per «secure»): gli obblighi del Gdpr, sottolinea il Garante, si applicano anche a sistemi progettati prima dell’operatività del Gdpr stesso, ma tenuti in piedi dopo il 25 maggio 2018.
Fonte: