Servizi online: come tutelare i dati

L’offerta di servizi online, anche da parte della Pubblica amministrazione, è sempre più frequente e sempre più richiesta e gradita dai cittadini e dai consumatori. Ma cosa occorre fare per garantire un’adeguata tutela dei dati personali ed evitare accessi non autorizzati con conseguenti violazioni e furti d’identità?

Ci fornisce occasione di riflessione una recente Ordinanza di ingiunzione del Garante nei confronti di una Società di servizi[1] dove si ribadisce che “l’interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer)”. Tenuto conto della natura, dell’oggetto e della finalità del trattamento, nonché dei rischi che insistono sui dati, tra cui il rischio di furto di identità, di possibile clonazione del sito web a scopo di phishing e di acquisizione delle credenziali di autenticazione per fini illeciti, l’interazione web con normali protocolli http in chiaro non può essere considerata una misura tecnica idonea a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento. Ciò anche in ragione dell’abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a diversi servizi online.

Non sono state ritenute sufficienti a superare i rilievi notificati dagli uffici del Garante le giustificazioni rese dal titolare del trattamento nel corso dell’attività istruttoria.

Non hanno rilevato, infatti, la descrizione della procedura adottata (area riservata dedicata solo agli utenti registrati con un contratto di fornitura di servizio) e l’assenza di anomalie rilevate. Parimenti non è stata considerata l’affermazione che “i dati personali potenzialmente esposti a violazione non rientrano tra quelli appartenenti a categorie particolari”.

Sono invece state considerate ai fini della determinazione della sanzione l’alto numero dei soggetti interessati (circa 13.000 scritti all’area riservata, tra cui oltre 2.000 imprese) e la scarsa attenzione alle segnalazioni dell’utente, comportamento poi corretto – una volta avuto notizia dell’avvio del procedimento del Garante – dall’intervento tempestivo, mirato all’adozione delle necessarie misure per risolvere la criticità di sicurezza sul proprio sito web, e dalla piena collaborazione con il Garante nel corso dell’istruttoria. Tale comportamento ha contribuito una mitigazione dell’importo della sanzione insieme all’assenza di precedenti violazioni pertinenti. La gravità della violazione ha comunque determinato l’applicazione della pena accessoria della pubblicazione del provvedimento sul sito web del Garante. Il Garante ha pertanto determinato l’ammontare della sanzione pecuniaria nella misura di euro 15.000 per la violazione degli artt. 5, par. 1, lett. f) (principio di integrità e riservatezza), 25, par. 1 (protezione dei dati fin dalla progettazione – c.d. privacy by design), e 32(misure di sicurezza) del Regolamento (UE) 2016/679 (GDPR).

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Garante per la protezione dei dati personali – Ordinanza ingiunzione nei confronti di Servizio Idrico Integrato S.c.p.a. – 6 ottobre 2022 n. 328