HTTPS - Perchè è importante.
In data 06/10/2022, il Garante per la Protezione dei Dati Personali ha emesso un’ordinanza di ingiunzione nei confronti di un Ente, [doc. web. n. 9817058] perché il suo sito non utilizza il protocollo https (HyperText Transfer Protocol over Secure Socket Layer).
Il provvedimento di ingiunzione di pagamento del Garante, dell’importo di 15.000 euro, è stato emesso perché l’Ente in questione non ha rispettato gli artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento.
Per rispettare il principio di “integrità e riservatezza” (art.5 par.1 lett.f), l’art. 32 par.1 del Regolamento, infatti, prevede che il titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”.
Inoltre, per il principio di “Privacy by Design”, in fase di progettazione e realizzazione di un sito internet, il titolare deve (cfr. le Linee guida 4/2019 sull’articolo 25, spec. punto 85):
- valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;
- proteggere i dati personali da modifiche e accessi non autorizzati e accidentali durante il loro trasferimento.
Il protocollo http, in telecomunicazioni e informatica, è un protocollo a livello applicativo usato come principale sistema per la trasmissione d’informazioni sul web ovvero in un’architettura tipica client-server.
Essendo un protocollo a livello applicativo, questo si focalizza esclusivamente sulla trasmissione dei dati, senza preoccuparsi del modo in cui le informazioni viaggiano da un luogo a un altro, quindi i dati viaggiano “in chiaro”, senza cifratura e possono essere facilmente intercettabili (tipico attacco Man in the Middle).
Il protocollo di trasmissione HTTPS (HyperText Transfer Protocol over Secure Socket Layer), invece, garantisce la protezione dei dati dal client al server.
Esso, infatti, consente una comunicazione tramite il protocollo HTTP (Hypertext Transfer Protocol) all’interno di una connessione criptata; questo garantisce:
- un’autenticazione del sito web visitato (infatti ogni sito in https deve avere un certificato fornito da una Certificati on Authority);
- una protezione della privacy (riservatezza o confidenzialità);
- l’integrità dei dati scambiati tra le parti comunicanti.
In particolare, tramite l’uso del protocollo HTTPS si garantisce il rispetto di uno dei principi alla base del GDPR, ossia il principio di integrità e riservatezza (art.5 par.1 lett.f) che stabilisce che “i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.