Il Garante privacy ha irrogato una sanzione nei confronti di un’azienda per mancato implemento del protocollo crittografato di sicurezza https.
Con un recente provvedimento, il Garante per la protezione dei dati personali ha irrogato una sanzione privacy di 15.000 euro nei confronti di Servizio Idrico Integrato S.c.p.a. per non avere implementato misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, utilizzando un protocollo di comunicazione in chiaro anziché crittografato (https).
Le violazioni privacy relative a misure tecniche non adeguate al rischio
La vicenda trae origine dall’inoltro di un reclamo al Garante da parte di un utente dell’azienda Servizio Idrico Integrato S.c.p.a., il quale lamentava che sul sito web dell’azienda fosse presente un’area riservata all’utente dove venivano gestiti i contatti e le fatture in assenza di un sistema di cifratura (certificato SSL). Sull’area riservata vengono, infatti, trattati diversi dati personali dei clienti, dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione, per un totale di 13.000 interessati, tra cui oltre 2.000 imprese.
Tale circostanza era già stata portata all’attenzione della società per ben due volte tramite PEC dall’utente segnalante, senza mai alcuna risposta. Pertanto, il Garante ha avviato un’istruttoria e accertato l’utilizzo di un protocollo di rete non crittografato (quale il protocollo “http”, anziché “https”) sul sito web in questione della società, come da segnalazione del reclamante.
Alla luce della documentazione e delle informazioni acquisite in sede di istruttoria, l’autorità ha eccepito la violazione degli:
- artt. 5, par. 1, lett. f), e 32 del Regolamento 679/2016 (il GDPR), poiché la società non aveva messo in atto misure di sicurezza, tecniche e organizzative, idonee a garantire un livello di sicurezza adeguato al rischio, a causa della implementazione di un protocollo in chiaro anziché crittografato (https); nonché
- art. 25, par. 1, del GDPR per non aver messo in atto, fin dalla progettazione del sito web, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati.
Pertanto, il Garante ha dichiarato illecito il trattamento effettuato da parte della società e ha comminato una sanzione di 15.000 euro, tenuto conto delle seguenti circostanze (attenuanti e aggravanti):
- l’alto numero di utenti coinvolti;
- il fatto che, sebbene il reclamante avesse fatto presente alla società in due occasioni l’insufficienza delle misure di sicurezza adottate, questa non si era prontamente attivata fino all’apertura dell’istruttoria da parte del Garante; tuttavia, quale circostanza attenuante
- la società non aveva commesso precedenti violazioni analoghe, e aveva avuto un atteggiamento collaborativo nel corso dell’istruttoria.
Alcune considerazioni sulla sanzione privacy per mancata adozione del protocollo di sicurezza
Il presente provvedimento è interessante perché la sanzione del Garante si focalizza esclusivamente sull’omessa implementazione di misure tecniche di sicurezza adeguate, in particolare il protocollo crittografato (https).
Le aziende cui si applica il GDPR devono valutare con cura quali misure implementare e individuare quelle più opportune e appropriate rispetto al rischio insito nelle attività di trattamento che esse svolgono, prevedendo la protezione dei dati personali “sin da progetto” come richiesto dall’art. 25 del GDPR. Al contrario, notiamo che spesso la compliance privacy viene vista come unicamente un compito “documentale”, mentre l’analisi delle misure di sicurezza è rimessa ai tecnici.
Anche a causa del notevole aumento dei cyberattacchi, non c’è dubbio che la conformità con gli obblighi di cui al GDPR richiede una sempre maggiore integrazione tra esperti privacy/legali e di sicurezza.
Su temi analoghi alla sicurezza del trattamento, potrebbero interessarvi “Quale responsabilità degli amministratori per un cyberattacco a danno della società?” e “Cyber Resilience Act: novità in tema di sicurezza informatica per i prodotti digitali IoT”