L’utilizzo di protocolli non sicuri da parte del titolare del trattamento può integrare una violazione di diverse disposizioni del GDPR: art 5 par. 1 lett. f) – principio di integrità e riservatezza -, art 32 – obblighi del titolare e del responsabile nell’ambito di sicurezza di dati personali -, art 25 – privacy by design. Per protocolli non sicuri si intende, nel caso di specie, il mancato utilizzo di tecniche crittografiche per il trasporto di dati.

Il Garante ha infatti recentemente sanzionato (CLICCA QUI per leggere la sentenza) un’Azienda fornitrice di servizi idrici per non aver adeguatamente protetto i dati personali dei propri clienti. Nello specifico, il Garante ha accertato che l’accesso al sito web dell’Azienda dedicato ai “servizi online” avveniva tramite il protocollo di rete “http” (hypertext transfer protocol, c.d. protocollo in chiaro), il quale, da un lato, non garantiva l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita il sito web dell’Azienda e, dall’altro, non consentiva agli utenti di verificare l’autenticità del sito web utilizzato.

Al contrario, l’interazione di un utente con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici SSL (Secure Socket Layer), i quali garantiscono una migliore sicurezza a fronte dei rischi di furto d’identità, clonazione del sito web a scopo di phishing, acquisizione delle credenziali di autenticazione per fini illeciti. Di conseguenza, una misura tecnica adeguata a proteggere i dati è quella di utilizzare il protocollo “https” (hypertext transfer protocol over secure socket layer). Peraltro, la cifratura è citata anche dallo stesso GDPR, all’art. 32 par. 1 lett. a), tra le misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio.

La sanzione amministrativa di 15.000 euro è stata motivata dal fatto che la condotta ha costituito violazione di diverse importanti disposizioni del GDPR.

Innanzitutto, il principio di integrità e riservatezza sancito dall’art. 5 par. 1 lett. f), in base al quale i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

In secondo luogo, l’obbligo in capo al titolare del trattamento di adottare tali misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, così come previsto dall’art. 32 GDPR.

Infine, il principio di protezione dei dati fin dalla progettazione formalizzato dall’art. 25 GDPR, secondo il quale il titolare deve mettere in atto, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, misure tecniche e organizzative adeguate, in maniera da attuare in modo efficace i principi di protezione dei dati integrando le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. Infatti, l’Azienda avrebbe dovuto adottare un protocollo di rete sicuro, come il protocollo “https” fin dalla progettazione del proprio sito web.

Con riferimento a queste tre disposizioni violate, il titolare avrebbe dovuto adempiere a due obblighi ben precisi: innanzitutto valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati; successivamente, contrastare i rischi identificati, proteggendo i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.

Più in generale, l’adozione di tecniche crittografiche da parte del titolare è in linea con l’impianto proattivo del GDPR per il quale il titolare deve dotarsi di strumenti a carattere preventivo e anticipatorio della tutela dei dati personali oggetto di trattamento.

In ultimo, è da segnalare che il Garante ha precisato in questo provvedimento che l’obbligo di mantenere, verificare e aggiornare, quando necessario, il trattamento si applica anche ai sistemi preesistenti, ovvero progettati prima dell’entrata in vigore del GDPR. Questi sistemi devono quindi essere sottoposti a verifiche e manutenzione costanti per garantire l’applicazione di misure che mettano in atto i principi e diritti degli interessati.