Dati personali e sito web: necessari dei protocolli sicuri

Per scongiurare il rischio di furti d’identità e garantire una adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello https). È quanto ha ribadito il Garante per la protezione dei dati personali sanzionando con una multa di 15.000 euro un’azienda – fornitrice di servizi idrici – che utilizzava sul proprio sito web un protocollo di comunicazione in chiaro, così non proteggendo adeguatamente i dati dei clienti registrati sull’area riservata del sito. A seguito di un reclamo il Garante ha accertato che l’accesso al sito web dell’azienda dedicato ai servizi online avveniva tramite il protocollo di rete http, non crittografato e non sicuro. Diversi i dati personali dei clienti che transitavano mediante tale canale, dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali e partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione. La soluzione adottata dall’azienda violava importanti principi sanciti dal Regolamento come quello di integrità e riservatezza dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di protezione dei dati fin dalla progettazione, secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate. (Ordinanza del 6 ottobre 2022 del Garante per la protezione dei dati personali)