Con ordinanza n 9817058/2022, il Garante privacy interviene a seguito di una segnalazione per sanzionare un Titolare del trattamento che ha adottato misure di sicurezza (nella specie il protocollo http) considerato non sicuro per tutelare i dati personali di migliaia di interessati. Applicando il principio di legalità, nonostante nel frattempo l’azienda avesse migrato il sito sotto protocollo https, la sanzione è stata quantificata in € 15.000,00.
Indice
>>>Leggi l’ordinanza n.9817058/2022<<<
1. Fatto
L’utente dell’azienda Servizio Idrico Integrato S.c.p.a. ha lamentato la circostanza che sul sito web dell’Azienda era presente un’area utente dove venivano gestiti i contatti e le fatture in assenza di un sistema di cifratura (certificato SSL) ed è presente un’autenticazione e transitano dati personali.
Il reclamante lo ha reso noto per ben due volte al Titolare del trattamento a mezzo pec senza ottenere alcun riscontro.
L’utilizzo di un protocollo di rete non sicuro (quale il protocollo “http”) sul sito web in questione è stato poi accertato dall’Ufficio del Garante.
2. L’attività istruttoria
Dalle memorie difensive dell’Azienda e dall’attività istruttoria svolta è emerso che all’interno del sito vi è un’area riservata dedicata solo agli utenti che hanno un contratto di fornitura di servizio con la società che si sono preventivamente registrati.
Una volta che l’utente ha fornito i dati anagrafici necessari e i dati dell’utenza interessata, vengono fornite delle credenziali di accesso costituite da un nome utente ed una password.
Con questi codici l’utente in via diretta, riservata ed esclusiva può verificare e monitorare le informazioni che riguardano la fornitura collegata al contratto di utenza e può visualizzare e stampare le bollette emesse, il servizio prestato, le tariffe applicate, la tipologia d’utenza assegnata, nonché comunicare l’autolettura.
Nessun rilievo è stato mosso circa eventuali violazioni di dati personali intervenute a seguito della situazione oggetto di contestazione tali da comportare effettive lesioni all’integrità, alla riservatezza e alla disponibilità dei dati personali trattati attraverso il sito.
Oltre a ciò, l’Azienda nelle more dell’accertamento ha adeguato Il profilo di sicurezza del proprio sito allo standard attuale riconosciuto, avendo completato la migrazione sotto protocollo “https” (Hypertext transfer protocol over secure socket layer) ed evidenziando come i certificati utilizzati per il passaggio al protocollo “https” sono stati acquistati molto prima della comunicazione del Garante, quale indice dell’azione di allineamento che l’azienda intendeva realizzare.
Si sarebbe comunque trattato di condotta colposa poiché le circostanze di fatto escludono alcuna consapevolezza e intenzionalità della violazione tanto che è stata fatta una analisi degli accessi che ha restituito, con riferimento al periodo oggetto di verifica, un andamento privo di anomalie e tale da far ritenere che non vi siano stati tentativi o eventi consumati di violazione dati personali, inoltre le password di registrazione sono crittografate.
Altro elemento da valutare per sminuire la portata della violazione è la circostanza per cui i dati personali potenzialmente esposti a violazione non rientrano tra quelli appartenenti a
categorie particolari poiché consistono esclusivamente in nome, cognome o ragione sociale,
codice fiscale o partita I.V.A., recapito e-mail e telefonico, prospetti di fatturazione, oltre
all’identificativo utente SII.
Dalla condotta oggetto di contestazione, nessun danno è sorto a carico dell’interessato reclamante o di altri interessati e, con l’intervento di adeguamento descritto, il rischio di danni alle persone
fisiche in relazione ai dati che circolano sul sito è stato abbattuto in linea con la probabilità e la gravità del medesimo, con riferimento allo stato dell’arte e dei costi.
Volume consigliato
Manuale operativo del D.P.O.
L’opera giunge alla sua seconda edizione e mantenendo l’impostazione originaria del libro vengono approfonditi diversi aspetti legati ai compiti ed alle attività del DPO.In particolare si è tenuto conto delle ultime linee guida EDPB sulle figure soggettive del GDPR, sulla videosorveglianza, sui principi della privacy by design e by default e sui trasferimenti dei dati personali presso Paesi terzi, nonché di alcune importanti sentenze del giudice amministrativo sui ruoli e le funzioni del DPO e di rilevanti provvedimenti dell’Autorità in tema di DPIA, Data Breach e Registro delle attività di trattamento.Il formulario è stato ulteriormente arricchito e rinnovato alla luce degli interventi dell’Autorità Garante, di Organismi Comunitari e naturalmente dell’esperienza acquisita in materia.Nel libro, quindi, viene dato ulteriore risalto alla figura professionale di indubbio rilievo del DPO designata in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, nonché della capacità di adempiere ai propri compiti.Michele IaselliAvvocato, funzionario del Ministero della Difesa, docente a contratto di Informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
28.00 € 22.40 €
3. Esito dell’attività istruttoria
Ai sensi dell’art. 5, par. 1, lett. f), del Regolamento, il trattamento di dati personali deve essere effettuato in conformità al principio di “integrità e riservatezza”, in base al quale i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Sulla base di tale principio, l’art. 32 del Regolamento prevede che il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.
Inoltre, in base al principio di “protezione dei dati fin dalla progettazione”, formalizzato dall’art. 25, par. 1, del Regolamento, il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, deve mettere in atto, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.
Il considerando 78 del Regolamento mette in luce una precisa responsabilità del titolare, ossia quella di valutare costantemente se stia utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure scelte contrastino effettivamente le vulnerabilità esistenti. Inoltre, il titolare dovrebbe effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali.
L’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del Regolamento devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace (cfr. le “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, spec. punti 38 e 84).
Con particolare riferimento al principio di “integrità e riservatezza”, il titolare deve (cfr. le citate Linee guida 4/2019 sull’articolo 25, spec. punto 85): valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati e contrastare efficacemente quelli identificati; proteggere i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.
Ciò premesso, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, è stato accertato che l’accesso al sito web dell’Azienda dedicato ai “servizi online” avveniva tramite il protocollo di rete “http” (hypertext transfer protocol). È stato, altresì, accertato che la pagina principale del citato sito web conteneva i moduli per l’inserimento delle credenziali di autenticazione (nome utente e password) degli utenti.
Al riguardo, l’Autorità, anche in vigenza del precedente quadro normativo in materia di protezione dei dati personali, ha affermato che l’interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer), garantendo una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell’interazione web con normali protocolli http in chiaro (v., tra gli altri, provv.ti 10 giugno 2021, n. 235, doc. web n. 9685922; 2 dicembre 2021, n. 422, doc. web n. 9734884; 2 dicembre 2021, n. 423, doc. web n. 9734934; 27 gennaio 2022, n. 34, doc. web n. 9746448; 24 marzo 2022, n. 107, doc. web n. 9767635; 26 maggio 2022, n. 201, doc. web n. 9790365).
L’utilizzo di tecniche crittografiche, allo stato dell’arte, è, infatti, una delle misure comunemente adottate per proteggere, in particolar modo, le credenziali di autenticazione degli utenti di un servizio online durante la loro trasmissione su rete internet; ciò tenuto conto degli elevati rischi presentati dal trattamento di tali dati, che possono derivare dall’accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell’abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a diversi servizi online.
L’accesso al sito web in questione avveniva, invece, in modo non sicuro, mediante il protocollo di rete “http” (hypertext transfer protocol). Tale protocollo non garantiva, infatti, la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server che ospita il sito web dell’Azienda, e non consentiva agli utenti di verificare l’autenticità del sito web visualizzato. Tenuto conto della
natura, dell’oggetto e della finalità del trattamento, nonché dei rischi che insistono sui dati, tra cui il rischio di furto di identità, di possibile clonazione del sito web a scopo di phishing e di acquisizione delle credenziali di autenticazione per fini illeciti, la soluzione adottata dall’Azienda non poteva, pertanto, essere considerata una misura tecnica idonea a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento.
Il mancato utilizzo di tecniche crittografiche per il trasporto dei dati configura una violazione dell’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento, il cui par. 1, lett. a), individua, peraltro, espressamente la cifratura dei dati come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio (sul punto, cfr. anche il considerando n. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”). La Società avrebbe dovuto mettere in atto, fin dalla progettazione del proprio sito web, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, tra cui il principio di “integrità e riservatezza”, provvedendo ad adottare un protocollo di rete sicuro, quale il protocollo “https” (hypertext transfer protocol over secure socket layer), nell’ambito del sito web oggetto del reclamo. Pertanto, il trattamento in esame è avvenuto, altresì, in violazione dell’art. 25, par. 1, del Regolamento.
4. Conclusioni
Accertata la violazione degli artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento, nemmeno la circostanza che l’Azienda si fosse dotata del protocollo https durante l’accertamento ispettivo del Garante è bastato a superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento.
Rappresenta, altresì, il Garante privacy che per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25 maggio 2018 in cui il Regolamento è divenuto applicabile e il d.lgs. 10 agosto 2018, n. 101 è entrato in vigore. Dagli atti dell’istruttoria è, infatti, emerso che l’Azienda ha adottato il protocollo “https” in data successiva.
Volume consigliato
Manuale operativo del D.P.O.
L’opera giunge alla sua seconda edizione e mantenendo l’impostazione originaria del libro vengono approfonditi diversi aspetti legati ai compiti ed alle attività del DPO.In particolare si è tenuto conto delle ultime linee guida EDPB sulle figure soggettive del GDPR, sulla videosorveglianza, sui principi della privacy by design e by default e sui trasferimenti dei dati personali presso Paesi terzi, nonché di alcune importanti sentenze del giudice amministrativo sui ruoli e le funzioni del DPO e di rilevanti provvedimenti dell’Autorità in tema di DPIA, Data Breach e Registro delle attività di trattamento.Il formulario è stato ulteriormente arricchito e rinnovato alla luce degli interventi dell’Autorità Garante, di Organismi Comunitari e naturalmente dell’esperienza acquisita in materia.Nel libro, quindi, viene dato ulteriore risalto alla figura professionale di indubbio rilievo del DPO designata in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, nonché della capacità di adempiere ai propri compiti.Michele IaselliAvvocato, funzionario del Ministero della Difesa, docente a contratto di Informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento