Spesso, nell’implementare gli aspetti marketing della propria attività, i nostri clienti fanno riferimento ad un sito internet dell’azienda e, in esso, offrono l’accesso a servizi on-line di varia natura disponibili per i loro stakeholders. In tale contesto, è opportuno regolare, anche dal punto di vista informatico e della sicurezza, il trattamento di dati che avviene nel momento di accesso al sito e/o ai suddetti servizi. In particolare, l’interazione degli utenti con il sito web, ove si verifica una trasmissione di dati personali, deve essere sempre protetta con protocolli crittografici: in mancanza, è possibile incorrere in sanzioni anche di ingente portata economica.
Questo è quanto, nella sostanza, ha ribadito recentemente il Garante della Privacy (Registro dei provvedimenti n. 328 del 06.10.2022) sanzionando un’azienda fornitrice di servizi idrici per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web.
A seguito di un reclamo, l’Autorità, infatti, ha accertato che l’accesso al sito web dell’impresa dedicato ai “servizi online” avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro. Diversi i dati personali dei clienti che transitavano mediante tale canale, dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione.
Si è accertato che la soluzione adottata dall’azienda violava importanti principi sanciti dalle regole della Data Protection come quello di “integrità e riservatezza” dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione” (privacy by design), secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate.
Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento UE (GDPR, 25.05.2018). Nel sanzionare, pertanto, la società con una multa di quindicimila euro, l’Autorità ha tenuto conto dell’alto numero di utenti coinvolti (circa tredicimila) e del fatto che, sebbene il reclamante avesse fatto presente all’azienda in due occasioni dell’insufficienza delle misure di sicurezza adottate, questa non si era prontamente attivata fino all’apertura dell’istruttoria. Di contro, il Garante ha altresì tenuto in considerazione che l’Azienda non aveva commesso precedenti violazioni analoghe, e aveva avuto un atteggiamento collaborativo nel corso dell’istruttoria.