Violazione Privacy con sito privo di HTTPS
Il Garante Privacy ha sanzionato il Servizio Idrico Integrato S.c.p.a. per la violazione privacy con sito privo di HTTPS (HyperText Transfer Protocol over Secure Socket Layer). Una misura di sicurezza base ma ancora non abbastanza diffusa. Eppure è un problema e anche un illecito privacy, per il Gdpr.
In data 06/10/2022, il Garante per la Protezione dei Dati Personali ha emesso un’ordinanza di ingiunzione nei confronti di un Ente, [doc. web. n. 9817058] perché il suo sito non utilizza il protocollo https (HyperText Transfer Protocol over Secure Socket Layer).
Il provvedimento di ingiunzione di pagamento del Garante, dell’importo di 15.000 euro, è stato emesso perché l’Ente in questione non ha rispettato gli art. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento della violazione privacy.
Tutto nasce dal reclamo di un utente con il Garante Privacy sulla mancanza del protocollo HTTPS all’interno dell’area riservata sul sito per la violazione privacy dell utente .
Per incorrere nella violazione privacy e rispettare il principio di “integrità e riservatezza” (art.5 par.1 lett.f), l’art. 32 par.1 del Regolamento prevede che il titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.
Inoltre per evitare la violazione privacy e per il principio di “Privacy by Design”, in fase di progettazione e realizzazione di un sito internet, il titolare deve (cfr. le Linee guida 4/2019 sull’articolo 25, spec. punto 85):
- violazione privacy - valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;
- violazione privacy - proteggere i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.
Il protocollo http, in telecomunicazioni e informatica, è un protocollo a livello applicativo usato come principale sistema per la trasmissione d’informazioni sul web ovvero in un’architettura tipica client-server.
Essendo un protocollo a livello applicativo, questo si focalizza esclusivamente sulla trasmissione dei dati, senza preoccuparsi del modo in cui le informazioni viaggiano da un luogo a un altro, quindi i dati viaggiano “in chiaro”, senza cifratura e possono essere facilmente intercettabili (tipico attacco Man in the Middle) e se trasmette datisensibili , avviene una violazione privacy.
Il protocollo di trasmissione HTTPS (HyperText Transfer Protocol over Secure Socket Layer), invece, garantisce la protezione dei dati dal client al server, e non fa incorrere nalla violazione privacy
Esso, infatti non fa incorrere nella violazione privacy perche consente una comunicazione tramite il protocollo HTTP (Hypertext Transfer Protocol) all’interno di una connessione criptata; questo garantisce:
- violazione privacy - un’autenticazione del sito web visitato (infatti ogni sito in https deve avere un certificato fornito da una Certificati on Authority);
- violazione privacy - una protezione della privacy (riservatezza o confidenzialità);
- violazione privacy - l’integrità dei dati scambiati tra le parti comunicanti.
In particolare, tramite l’uso del protocollo HTTPS si garantisce il rispetto di uno dei principi alla base del GDPR, ossia il principio di integrità e riservatezza (art.5 par.1 lett.f) che stabilisce che “i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
Cosa e possibile imparare dal nuovo provvedimento per la violazione privacy
Sulla Violazione Privacy , già in passato l’Autorità, si è espressa sul significato di “protezione dei dati personali” ai fini dell’integrità e della riservatezza dei dati, affermando che l’interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer), garantendo una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell’interazione web con normali protocolli http in chiaro.( v., tra gli altri, provv.ti 10 giugno 2021, n. 235, doc. web n. 9685922; 2 dicembre 2021, n. 422, doc. web n. 9734884; 2 dicembre 2021, n. 423, doc. web n. 9734934; 27 gennaio 2022, n. 34, doc. web n. 9746448; 24 marzo 2022, n. 107, doc. web n. 9767635; 26 maggio 2022, n. 201, doc. web n. 9790365).
L’utilizzo di tecniche crittografiche, allo stato dell’arte, è, infatti, una delle misure comunemente adottate per proteggere la violazione privacy , in particolar modo, le credenziali di autenticazione degli utenti di un servizio online durante la loro trasmissione su rete internet; ciò tenuto conto degli elevati rischi presentati dal trattamento di tali dati, che possono derivare dall’accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell’abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a diversi servizi online.
Questa informazione va tenuta in considerazione quando si sta progettando un sito, specialmente se ha un’area riservata; infatti, è sempre necessario tenere conto dei rischi che impattano sui dati per la violazione privacy , quali ad esempio il rischio di furto di identità, di possibile clonazione del sito web a scopo di phishing e di acquisizione delle credenziali di autenticazione per fini illeciti.
il tuo sito rispetta le linee guida del garante della privacy ? non incorrere in possibili sansioni contattaci per una consulenza.
Hai bisogno di ulteriori informazioni? Contattaci oggi stesso, siamo a tua disposizione.