L’HTTPS sui siti web secondo il Garante della Privacy

Nonostante l’avvento del GDPR e della regolamentazione inerente alla privacy sul web, ancora molti siti non rispettano quella che ad oggi è considerata quale misura di sicurezza base, vale a dire il protocollo HTTPS, che per esteso vuol dire HyperText Transfer Protocol over Secure Socket Layer. Dunque l’HTTPS nel momento in cui non viene rispettata, oltre ad essere un pericolo per la privacy e la protezione dei dati può mettere a repentaglio porta con se una violazione del Regolamento sulla protezione dei dati personali, cioè del GDPR. Il Garante Privacy è l’autorità amministrativa indipendente deputata dalla legge al controllo della privacy già dall’anno 1996. Successivamente questa è stata istituita dal codice in materia di dati personali del 2003, preposta per la tutelare, appunto, la privacy, i diritti ed il rispetto della regolamentazione sul trattamento dei dati personali.

La differenza tra HTTP e HTTPS

Http e https sembrano molto simili, ma allo stato, queste risultano essere due varianti dello stesso protocollo di telecomunicazione. Per intenderci il protocollo di telecomunicazione è quell’insieme di regole che definisce non solo i c.d. ” metodi comunicativi” che intercorrono fra due o più entità virtuali, ma questi sono utilizzati per la maggior parte durante la navigazione web attraverso i browser, per citarne alcuni tra i più conosciuti: Google Chrome, Microsoft Edge e Safari. La differenza maggiore tra l’http e l’https  risiede semplicemente in una maggiore sicurezza che quest’ultima variante di protocollo , l’HTTPS, la cui finale sta per Secure, offre rispetto alla prima, vale a dire l’HTTP.

Il provvedimento contro il Servizio Idrico Integrato S.c.p.a.

Tra i suoi tanti provvedimenti, Il Garante Privacy ha comminato una sanzione al Servizio Idrico Integrato S.c.p.a. in quanto il suo sito non ha alcun https. Si rileva che l’http è l’acronimo che indica l’HyperText Transfer Protocol over Secure Socket Layer, che oggi viene considerata quale misura di sicurezza base tuttavia non ancora abbastanza diffusa. Eppure è un problema e anche un illecito privacy, per il Gdpr. Ecco cosa impariamo dal provvedimento.

Come nasce il provvedimento sanzionatorio

Il provvedimento sanzionatorio nasce dal reclamo di un utente che aveva riscontrato la mancanza dell’http sulla propria area riservata. Al fine di ossequiare il principio di integrità e riservatezza. Questo principio viene indicato pedissequamente nell’art.5 par.1 lett.f), l’art. 32 par.1 del Regolamento, che, infatti, prevede come il titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.

Applicazioni future a seguito del provvedimento

Secondo quanto stabilito dal Garante Privacy italiano nel provvedimento ora in esame, le tecniche crittografiche, sono una delle misure maggiormente adottate al fine di tutelare soprattutto le credenziali di autenticazione degli utenti di un servizio online durante la loro trasmissione sul web. Non si possono sottovalutare gli elevati rischi che vengono mostrati dal trattamento di questi dati personali, che possono essere cagionati già dal semplice accesso, non autorizzato.