I siti web con servizi online devono adottare protocolli sicuri

A fronte di un reclamo presentato ai sensi dell’art. 77 del RGPD, il Garante si è attivato per svolgere una verifica sulla conformità del trattamento attuato da un’azienda attraverso il proprio sito web. In seguito a tale verifica, è stato riscontrato che il trattamento violava il principio di integrità e riservatezza previsto dall’art. 5, par. 1, lett. f) del RGPD, in base al quale i dati personali devono essere trattati in modo da garantire un’adeguata sicurezza e protezione - mediante misure tecniche ed organizzative - da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione e/o da danni accidentali. Nello specifico, l’art. 32 del RGPD prevede espressamente la “cifratura dei dati personali”. Nell’ordinanza d’ingiunzione è stata data massima importanza al rischio di furto d’identità, in generale da considerare sempre presente nell’interazione web con normali protocolli in chiaro (hypertext transfer protocol - http). Inoltre, è stato tenuto conto dell’alto numero d’interessati iscritti all’area riservata, in tutto circa 13.000 (di cui oltre 2.000 imprese), oltre che della quantità di dati personali dei clienti che transitavano mediante tale canale non crittografato e non sicuro (http), quali potevano essere le credenziali di autenticazione (nome utente e password), le anagrafiche, con nomi, cognomi, codici...