Per questo motivo il Garante ha ingiunto una sanzione di 15 mila euro a un’azienda fornitrice di servizi idrici.
I dati degli utenti devono essere la priorità di tutti i siti che erogano servizi online e che per farlo richiedono i dati degli tenti medesimi. Lo ha ribadito il Garante privacy, che per la mancata protezione dei dati dei clienti ha sanzionato una società di servizi idrici .
Protocolli crittografici
Per scongiurare il rischio di furti d’identità e garantire una adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello “https”).
È quanto ha ribadito dal Garante privacy sanzionando un’Azienda fornitrice di servizi idrici per 15.000 euro, per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web.
A seguito di un reclamo l’Autorità ha accertato che l’accesso al sito web dell’Azienda dedicato ai “servizi online” avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro.
Dati a rischio
Diversi i dati personali dei clienti che transitavano mediante tale canale, dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione. La soluzione adottata dall’Azienda violava importanti principi sanciti dal Regolamento come quello di “integrità e riservatezza” dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione”, secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate.
Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento (25 maggio 2018).
Nel sanzionare l’Azienda per 15.000 euro l’Autorità ha tenuto conto dell’alto numero di utenti coinvolti (circa 13.000) e del fatto che, sebbene il reclamante avesse fatto presente all’Azienda in due occasioni l’insufficienza delle misure di sicurezza adottate, questa non si era prontamente attivata fino all’apertura dell’istruttoria.
Di contro, il Garante ha tenuto in considerazione che l’Azienda non aveva commesso precedenti violazioni analoghe, e aveva avuto un atteggiamento collaborativo nel corso dell’istruttoria.
Inoltre, il sito conteneva i moduli per l’inserimento di nome utente e password degli utenti. Infine, all’interno della sezione «anagrafica» dell’area personale sul sito web erano consultabili il codice cliente, nome e cognome, numero di telefono, codice fiscale, partita Iva, indirizzo di posta elettronica, indirizzo di residenza e tipo di servizio erogato. Nella sezione «fatture» era possibile vedere e scaricare le fatture emesse all’utente.Ma, rileva il Garante, il protocollo «http» non garantisce la riservatezza e l’integrità dei dati scambiati in rete, e non consente agli utenti di verificare l’autenticità del sito web visualizzato.
Conseguenza di ciò possono essere furti di identità, clonazioni del sito a scopo di phishing e di acquisizione delle credenziali di autenticazione a fini illeciti. Stando così le cose, poiché le misure di sicurezza non erano adeguate, all’azienda è stata ingiunta la sanzione pecuniaria.