Servizi online, necessario l’utilizzo di protocolli sicuri. Multata un’azienda che utilizzava un protocollo di comunicazione in chiaro
Servizi online: diventa sempre più importante utilizzare protocolli sicuri.
Per scongiurare il rischio di furti d’identità e garantire un’adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello “https”).
È quanto ha ribadito il Garante privacy che ha sanzionato un’Azienda fornitrice di servizi idrici con una multa di 15.000 euro. L’azienda non aveva adeguatamente protetto i dati dei clienti registrati sull’area riservata del proprio sito web.
A seguito di un reclamo, l’Autorità ha accertato che l’accesso al sito web dell’Azienda dedicato ai “servizi online” avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro.
Diversi i dati personali dei clienti che transitavano mediante tale canale: dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione. La soluzione adottata dall’Azienda violava importanti principi, quali quello di “integrità e riservatezza” dei dati trattati, sanciti dal Regolamento. Principi che prevedono che il titolare debba mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione”, secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e, successivamente, effettuare revisioni periodiche delle misure di sicurezza adottate.
Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento (25 maggio 2018).
L’alto numero di utenti coinvolti (circa 13.000) e il fatto che l’Azienda non si fosse prontamente attivata fino all’apertura dell’istruttoria nonostante il reclamante avesse comunicato in due circostanze l’insufficienza delle misure di sicurezza adottate hanno determinato l’entità della sanzione per 15.000 euro.
Di contro, il Garante ha tenuto in considerazione che l’Azienda non aveva commesso precedenti violazioni analoghe, e aveva avuto un atteggiamento collaborativo nel corso dell’istruttoria.
Fondamentale dunque per le aziende adottare protocolli sicuri e affidarsi a professionisti per essere sempre aggiornati e in regola in materia di privacy e GDPR. Contattaci per scoprire tutti i nostri servizi.
Fonte: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9817058