Servizi online, necessario l’utilizzo di protocolli sicuri
Multa di 15mila euro ad un’azienda che utilizzava un protocollo di comunicazione in chiaro
Per scongiurare il rischio di furti d’identità e garantire una adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello “https”).
È quanto ha ribadito il Garante privacy sanzionando un’Azienda fornitrice di servizi idrici per 15.000 euro, per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web.
A seguito di un reclamo l’Autorità ha accertato che l’accesso al sito web dell’Azienda dedicato ai “servizi online” avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro.
Diversi i dati personali dei clienti che transitavano mediante tale canale, dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione. La soluzione adottata dall’Azienda violava importanti principi sanciti dal Regolamento come quello di “integrità e riservatezza” dei dati trattati, in base al quale il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali, e quello di “protezione dei dati fin dalla progettazione”, secondo il quale occorre mettere in atto, fin dall’inizio, misure tecniche e organizzative adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate.
Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento (25 maggio 2018).
Nel sanzionare l’Azienda per 15.000 euro l’Autorità ha tenuto conto dell’alto numero di utenti coinvolti (circa 13.000) e del fatto che, sebbene il reclamante avesse fatto presente all’Azienda in due occasioni l’insufficienza delle misure di sicurezza adottate, questa non si era prontamente attivata fino all’apertura dell’istruttoria.
Di contro, il Garante ha tenuto in considerazione che l’Azienda non aveva commesso precedenti violazioni analoghe, e aveva avuto un atteggiamento collaborativo nel corso dell’istruttoria.
“Bonus vista”, via libera del Garante privacy
Il Garante per la protezione dei dati personali ha espresso parere positivo sullo schema di decreto del Ministero della salute che prevede l’erogazione di un contributo una tantum di 50 euro per l’acquisto effettuato dal 1° gennaio 2021 al 31 dicembre 2023 di occhiali da vista o di lenti a contatto correttive.
Il contributo in favore dei membri di nuclei familiari con Isee non superiore ai 10mila euro sarà attribuito sotto forma di voucher, per chi ne farà richiesta, o come rimborso, per chi ha già effettuato l’acquisto. Entrambe le modalità prevedono che il richiedente si registri su un’applicazione web dedicata, resa disponibile sul sito del Ministero della salute, mediante autenticazione con SPID, CIE o CNS.
Nel caso di attribuzione, il voucher sarà reso disponibile sull’applicazione web, dopo la verifica da parte di INPS del possesso dei requisiti ISEE, mentre il rimborso avverrà sulle coordinate IBAN, fornite al momento della registrazione insieme a copia della fattura o della documentazione, e prevede la comunicazione all’Agenzia delle entrate dei dati relativi ai rimborsi erogati.
Lo schema di decreto tiene conto delle osservazioni fornite dall’Autorità nel corso delle interlocuzioni intercorse col Ministero per rendere conformi alla normativa privacy i trattamenti previsti, secondo il principio della protezione dati “fin dalla progettazione e per impostazione predefinita”.
Nel parere il Garante ha posto come unica condizione quella di specificare che le modalità e i termini della comunicazione dei rimborsi siano stabiliti con provvedimento del Direttore dell’Agenzia delle entrate, sentita l’Autorità garante per la protezione dei dati personali.
Siglata prima Convenzione attuativa del protocollo d’intesa tra Garante e CINI
Il presidente del Garante per la protezione dei dati personali, Pasquale Stanzione, e il presidente del Consorzio Interuniversitario Nazionale per l’Informatica (CINI), Ernesto Damiani, hanno sottoscritto nei giorni scorsi a Roma, presso la sede del Garante, una Convenzione attuativa dell’Accordo quadro siglato il 17 gennaio 2022. Quest’ultimo regola la collaborazione tra le due Istituzioni allo scopo di stimolare occasioni di confronto, di sviluppo e di approfondimento in relazione a tematiche di ricerca di particolare rilievo per il settore dell’informatica e delle ICT nonché della loro applicazione in ogni ambito della vita sociale, nel rispetto dei diritti fondamentali, con particolare riferimento al diritto alla protezione dei dati personali.
La Convenzione attuativa mira a realizzare uno scambio di conoscenza consapevole ad opera delle due Istituzioni nei settori di rispettiva competenza: essa coinvolgerà, in particolare, i Laboratori nazionali “Informatica e Scuola” e “Informatica e Società” del CINI, diretti, rispettivamente, dai prof. Enrico Nardelli e Viola Schiaffonati; personale dell’Autorità curerà, nell’ambito del Progetto “Programma il futuro”, dedicato al mondo della scuola e coordinato dal professor Nardelli, la realizzazione di una serie webinar nell’anno scolastico 2022/23 dedicati all’attività del Garante e alle forme di tutela del diritto alla protezione dei dati personali, con particolare riferimento ai minori e alla dimensione scolastica.
La Convenzione costituisce, dunque, un primo strumento operativo in chiave di potenziamento delle conoscenze delle due Istituzioni e del pubblico a fronte delle innovazioni tecno-sociali.
La cooperazione potrà estendersi in futuro, con l’interazione di altri Laboratori nazionali del CINI, anche in settori ulteriori – quali quelli dei big data e dell’Intelligenza artificiale nonché della cybersecurity – tenendo conto delle ricadute di tali sviluppi sui diritti fondamentali e sul diritto alla protezione dei dati personali, anche in relazione ai processi di formazione delle competenze digitali e degli standard di certificazione.