Se in un sito web è presente un’area dedicata agli utenti registrati, è indispensabile che il gestore del sito adotti un protocollo di comunicazione sicuro. Per capirci, siamo in presenza di un protocollo sicuro quando la stringa che individua l’indirizzo del sito visitato reca la sigla “https”. Se il titolare del sito non adotta questo accorgimento, rischia una pesante sanzione per violazione delle disposizioni in materia di protezione dei dati personali. Può sembrare una questione di poco conto, ma non lo è affatto e un provvedimento del Garante privacy (datato 6 ottobre 2022) aiuta a capire la portata del problema.
Un caso esemplare
Nel caso specifico, il sito era quello di un’azienda fornitrice di servizi; l’area riservata del consentiva agli utenti registrati di accedere ai propri dati di fatturazione e scaricare le fatture emesse. Non era possibile effettuare transazioni bancarie, né attivare o modificare un servizio di addebito diretto in conto, per capirci. Semplicemente, gli utenti potevano consultare la loro posizione ed eventualmente aggiornare i loro dati o i loro recapiti. L’azienda, quindi, si è difesa dicendo che la mancata adozione di un protocollo sicuro non ha portato rischi di particolare gravità.
Ma questo non è bastato ad evitare la sanzione, che nel caso specifico è stata di ben 15.000 euro. A giustificare tale provvedimento è infatti la violazione delle norme del Regolamento Europeo che impongono l’adozione di misure di sicurezza nel trattamento dei dati personali. Non c’è dubbio che creare e rendere operativa una “area riservata” su un sito Internet sia un trattamento di dati personali. Ora, se questo spazio viene affidato ad un protocollo non sicuro (http), è difficile pensare che il titolare del sito abbia adottato le misure di sicurezza adeguate per proteggere questi dati.
Viceversa, l’impiego di un protocollo sicuro (https) consente di avvalersi di tecniche di criptazione, idonee a garantire la sicurezza dei dati e la verifica, per gli utenti, circa l’autenticità del sito visualizzato. In termini pratici: un protocollo di questo tipo garantisce agli utenti di trovarsi non solo sulla piattaforma corretta, ma offre loro una tutela circa il mascheramento dei propri dati.
Si rischia anche con i dati non sensibili
Il GDPR impone al titolare di trattare i dati in modo sicuro, adottando le misure di sicurezza adeguate e organizzandosi, fin dall’inizio, in modo da dotarsi di strumenti e prassi volte ad assicurare la protezione dei dati. Si tratta, in quest’ultima parte, della cosiddetta privacy by design. Evidentemente, impiegare un protocollo di comunicazione non sicuro rappresenta una violazione di queste norme. E poco importa se l’area riservata consente semplicemente di modificare i propri dati di contatto: il fatto che non siano implicati dati sensibili, o che non si siano concretizzati eventi dannosi, non svincola il titolare dalle sue responsabilità.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale