GDPR e cybersecurity: Garante, non è “compliant” utilizzare il protocollo internet HTTP

“Per scongiurare il rischio di furti d’identità e garantire una adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello “https”)”.

Questo è il principio ribadito recentemente dal Garante nel Provvedimento n. 328 del 6 ottobre 2022 [doc. web n. 9817058].

In particolare, nella fattispecie in oggetto, l’Autorità ha accertato che l’accesso al sito web di un’azienda fornitrice di servizi idrici dedicato ai “servizi online” in cui transitavano i dati personali dei clienti, avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro.  L’Ente è stato pertanto sanzionato per non aver protetto in modo adeguato i dati degli utenti registrati sull’area riservata del sito web aziendale. Al riguardo, è interessante notare come nel suindicato provvedimento, da un lato, l’Authority abbia ribadito la necessità  che i titolari del trattamento – nel contesto della progettazione e della realizzazione dei propri siti web – mettano in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (come la cifratura dei dati personali) e, dall’altro, abbia rilevato che tali obblighi si applicano anche ai sistemi preesistenti alla data di efficacia del GDPR (25 maggio 2018).

.

Leggi il documento completo