Civile

Servizi online con autenticazione: il GDPR impone protocolli crittografici

Secondo la nuova impostazione europea risiede in capo al titolare del trattamento la valutazione e la scelta, caso per caso, delle misure tecniche e organizzative più adeguate al fine di garantire misure di sicurezza compliance privacy

di Elisa Chizzola

Le società e gli enti che gestiscono, sui propri siti web, piattaforme per l'interazione con gli utenti sono tenute ad utilizzare protocolli crittografici (come quello "https"), al fine di garantire misure di sicurezza compliance privacy.

Tale concetto è stato recentemente ribadito dal Garante per la protezione dei dati personali che ha ricordato come, secondo la nuova impostazione privacy europea, sia in capo al titolare del trattamento la valutazione e la scelta, caso per caso, delle misure tecniche e organizzative adeguate al fine di garantire un livello di sicurezza adeguato e appropriato al rischio (articolo 32, GDPR). Tali misure possono comprendere "la cifratura dei dati personali".

Questo approccio basato sull'accountability ed analisi dei rischi rappresenta, rispetto al passato, una novità per la protezione dei dati, in quanto viene affidato ai titolari del trattamento il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati dal General Data Protection Regulation.

Inquadramento normativo

Dal punto di vista delle norme applicabili, in questo contesto non solo entra in gioco il citato articolo 32, GDPR ma anche il più generale "principio di integrità e riservatezza" nel trattamento di dati personali (articolo 5, par. 1, lett. f), GDPR), che rappresenta uno dei criteri cardine del Regolamento europeo in materia di privacy.

In virtù di tale canone interpretativo, i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza dei dati, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti, e dalla perdita, dalla distruzione o dal danno accidentale.

Inoltre, in base al "principio di protezione dei dati fin dalla progettazione" (privacy by design), formalizzato dall' articolo 25, par. 1, GDPR , il titolare del trattamento, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, deve mettere in atto, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

Il Considerando 78, GDPR mette in luce una precisa responsabilità del titolare, ossia quella di valutare costantemente se stia utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure scelte contrastino effettivamente le vulnerabilità esistenti. Il titolare dovrebbe effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali.

Tenendo in considerazione tali concetti generali, sul versante "concreto", la governance privacy che deve essere attuata all'interno delle organizzazioni comprende naturalmente anche la gestione degli strumenti informatici e digitali utilizzati all'interno della realtà aziendale e professionale di volta in volta coinvolta.

Riprendendo le parole del Legislatore di cui all'articolo 25 sopra citato, il titolare del trattamento per identificare le misure di sicurezza adeguate - oltre ai costi di attuazione, alla natura, all'ambito di applicazione, al contesto e alle finalità del trattamento - deve in particolare tenere conto dello "stato dell'arte", vale a dire delle nuove misure che nei vari contesti si sviluppano e si dimostrano più innovative, più efficaci e strumentali al fine della tutela e della protezione dei dati personali stessi.

Sotto il profilo, quindi, del mondo dell'information technology, evidentemente l'evoluzione tecnologica connessa alla strumentazione informatica e digitale di enti ed aziende implica necessariamente un continuo aggiornamento e costanti rivalutazioni, dal punto di vista del rischio, da parte del titolare del trattamento.

Quest'ultimo, infatti, deve considerare e scegliere le misure e le strumentazioni informatiche e digitali che offrono misure di sicurezza più tutelanti rispetto ai dati personali che gestisce, in rapporto naturalmente agli altri fattori (costi di attuazione, natura, ambito di applicazione, contesto, finalità del trattamento, rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento).

Caso: sanzione per l'utilizzo di un protocollo di comunicazione in chiaro

Tornando al caso di specie anticipato in premessa, occorre evidenziare come il Garante privacy con l'ordinanza ingiunzione del 6 ottobre scorso (doc. web. 9817058) abbia sanzionato un'azienda fornitrice di servizi idrici per non aver protetto adeguatamente i dati dei clienti registrati sull'area riservata del proprio sito web.

La società, infatti, utilizzava sistemi di comunicazione online non sicuri perché non crittografati.

In questa occasione, il Garante privacy ha ribadito che, considerando le tecnologie oggi esistenti, per scongiurare il rischio di furti d'identità e garantire una adeguata tutela dei dati personali, l'interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello "https"). Le tecniche crittografiche consistono nel rappresentare gli elementi di un messaggio mediante gli elementi di un altro sistema di simboli, alfabeto del codice, ottenendo un messaggio in codice o crittogramma.

L'azienda è stata sanzionata perché nel corso dell'istruttoria, seguita ad un reclamo presentato da un interessato, l'Autorità di controllo ha accertato che l'accesso al sito web della società in questione dedicato ai "servizi online" avveniva tramite il protocollo di rete "http", non crittografato e non sicuro.

In estrema sintesi, con l'acronimo "http" (Hyper Text Transfer Protocol) si identifica il protocollo standard di comunicazione tra un client ed un server web. Mentre "https" sta per Hyper Text Transfer Protocol Secure.

Quella "s" fa la differenza fra una trasmissione in chiaro ed una in forma criptata.
Il metodo usato per criptare le informazioni si fonda sull'utilizzo di un certificato digitale che, al pari di uno fisico, garantisce l'identità del server da parte di un ente terzo.

Sul certificato sono riportate informazioni precise, tra cui il nome dell'azienda a cui fa capo il server web; il tipo di servizio che viene garantito; il nome dell'autorità di certificazione; la scadenza del certificato stesso (perché al pari di un certificato tradizionale, anche i certificati digitali hanno un tempo di validità).
Nel caso in esame posto sotto i riflettori del Garante, erano diversi i dati personali dei clienti che transitavano mediante il canale web della società, dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione.

Il Garante privacy ha avuto modo di affermare come la soluzione adottata dall'azienda violasse importanti principi sopra descritti, sanciti dal GDPR (il "principio dell'integrità e riservatezza" dei dati trattati ex art. 5, GDPR; il "principio di protezione dei dati fin dalla progettazione" ex art. 25, GDPR; le regole in tema di "sicurezza del trattamento" ex art. 32 GDPR).

Peraltro, l'obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica a tutti i sistemi, naturalmente anche ai sistemi progettati prima dell'entrata in vigore del GDPR.

Con particolare riferimento al "principio di integrità e riservatezza", il titolare deve in primis valutare i rischi per la sicurezza dei dati personali, considerando l'impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati, ed inoltre proteggere i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.

In relazione all'accesso al sito web dell'azienda dedicato ai "servizi online", il Garante privacy anche in vigenza del precedente quadro normativo in materia di protezione dei dati personali, ha affermato che l'interazione di un utente con un sito web ai fini della trasmissione di dati personali debba essere protetta con protocolli crittografici SSL (Secure Socket Layer), garantendo una migliore sicurezza a fronte dei rischi di furto di identità sempre presenti nell'interazione web con normali protocolli http in chiaro.

L'utilizzo di tecniche crittografiche, allo stato dell'arte, è, infatti, una delle misure comunemente adottate per proteggere, in particolar modo, le credenziali di autenticazione degli utenti di un servizio online durante la loro trasmissione su rete internet. Tutto ciò tenendo conto degli elevati rischi presentati dal trattamento dei dati sopra elencati, che possono derivare dall'accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell'abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l'accesso a diversi servizi online.

L'accesso al sito web in questione avveniva, invece, in modo non sicuro, mediante il protocollo di rete "http". Tale protocollo non garantiva la riservatezza e l'integrità dei dati scambiati tra il browser dell'utente e il server che ospita il sito web dell'azienda, e non consentiva agli utenti di verificare l'autenticità del sito web visualizzato.

Sulla base di tali argomentazioni, il Garante per la protezione dei dati personali ha irrogato alla società una sanzione amministrativa. Infatti, tenuto conto della natura, dell'oggetto e della finalità del trattamento, nonché dei rischi che insistono sui dati, tra cui il rischio di furto di identità, di possibile clonazione del sito web a scopo di phishing e di acquisizione delle credenziali di autenticazione per fini illeciti, la soluzione adottata dall'azienda non è stata valutata dal Garante privacy una misura tecnica idonea a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento.


Per saperne di piùRiproduzione riservata ©