GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/729/01.jpg
martedì 25 ottobre 2022
di Dott. Alessandro Mammoli
Sanzioni Garante Privacy: sanzionata un'azienda per non aver eliminato, dal proprio sito web, il protocollo non sicuro HTTP.
Un utente dell'azienda in oggetto ha segnalato, tramite reclamo al Garante, l'assenza, sul sito web aziendale, del sistema di criptazione con certificato SSL. In dettaglio, sul sito web è presente un'area utente dove transitano dati personali (contatti, fatture ecc…) alla quale si accede tramite protocollo di rete non sicuro (HTTP). Fatto che, per il reclamante, espone a rischio i dati personali e sensibili degli utenti e li espone al furto di identità.
Il reclamante ha dimostrato al Garante privacy di aver segnalato per ben due volte la problematica, via PEC, all'azienda di gestione del servizio idrico locale senza ricevere alcuna risposta.
Ricordiamo che l'uso del protocollo HTTP, sanzionato ormai da qualche anno da parte dei principali browser che segnalano come pericolosi quei siti che ancora lo utilizzano, comporta il transito di dati in chiaro. Dati in chiaro, quindi, intercettabili e intellegibili da un eventuale terzo non autorizzato.
A seguito della ricezione del reclamo, il Garante ha avviato l'istruttoria, comunicata all'azienda come da prassi. L'azienda, interrogata sul contenuto del reclamo, ha presentato una memoria difensiva nella quale afferma che:
Il Garante ha rilevato come, tramite il canale comunicativo non sicuro HTTP, siano transitati dati sensibili come:
Non solo: nel provvedimento completo si legge
"La soluzione adottata dall’Azienda violava importanti principi sanciti dal Regolamento come quello di “integrità e riservatezza” dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione”, secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate."
Questi obblighi di sicurezza, rileva il Garante, si applicano anche ai sistemi pre esistenti alla data di entrata in vigore del Regolamento, vigente dal 25 Maggio 2018.
Per approfondire > Il GDPR come possibile barriera al furto di identità
Il Garante ha ritenuto congrua e dissuassiva una sanzione dell'ammontare di 15.000 euro, tenuto di conto
Il provvedimento completo è disponibile qui
Per saperne di più > Il 97% dei siti web in Europa non rispetta i requisiti del GDPR
mercoledì 20 settembre 2023
martedì 5 settembre 2023
CONDIVIDI QUESTA PAGINA!