GDPR e privacy: lo sai che una S puo fare la differenza?
Il protocollo HTTPS ti salva dal commettere un illecito privacy secondo il GDPR
Lo sai che ogni sito web che trasmette dati personali deve utilizzare un protocollo sicuro? Se il tuo sito è “HTTP” allora probabilmente stai commettendo un illecito privacy secondo il GDPR.
Il Garante Privacy ha già sanzionato un’azienda tramite questo provvedimento perché, in seguito ad una segnalazione sporta da un utente dell’azienda (dopo che l’azienda non aveva dato seguito alla sue precedenti segnalazioni dirette), ha rilevato e confermato che l’area riservata del sito era sprovvista di HTTPS.
Cosa significa HTTP e HTTPS?
Le definizioni letterali sono:
- HTTP = HyperText Transfer Protocol
- HTTPS = HyperText Transfer Protocol Secure
L’HTTP è il protocollo di comunicazione standard utilizzato tra un client ed un server web. In pratica è il modo in cui avviene il trasferimento delle pagine web in internet.
Quando si utilizza il protocollo HTTP, lo scambio di risorse tra il client, banalmente il browser, e i server avviene “in chiaro”. Quindi, nel caso in cui queste comunicazioni venissero intercettate sarebbe possibile leggerle chiaramente.
Al contrario, la comunicazione tramite HTTPS, risulta sicura in quanto avviene tramite l’impiego di certificati SSL (Secure Socket Layer) che crittografano le informazioni.
Detto così può sembrare una cosa complicata da fare quando in realtà rientra tra le pratiche base che ogni titolare di sito web dovrebbe mettere in conto e che ogni buona web agency dovrebbe prevedere di default quando realizza o prende in gestione un sito.
Un esempio pratico
Immaginiamo di essere al computer e di star navigando su un sito web, magari un e-commerce, che permette comunicazioni tramite protocollo HTTP (e lo sappiamo con semplicità visto che ormai i maggiori browser lo mettono bene in chiaro tramite un simbolo di attenzione o indicandolo come “non sicuro”), facciamo un ordine e forniamo tutti i dati necessari tra cui anche i riferimenti della nostra carta di credito.
Come il browser ci avvisa se il sito che stiamo visitando è sicuro
E se questo ipotetico sito avesse un’area riservata che contiene non solo dati personali, ma anche dati più “sensibili”? (leggi qui la definizione del Garante di “dati personali”)
Qualcuno con le “giuste” competenze cosa potrebbe fare con questi dati?
Questo semplice esempio mette bene in evidenza il motivo per cui l’assenza di protocollo HTTPS possa essere considerato un illecito privacy. Ma andiamo più nel dettaglio.
Quali articoli del GDPR riguardano il protocollo HTTPS?
Art. 5 GDPR – Principi applicabili al trattamento di dati personali
1. I dati personali sono:
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Art. 25 GDPR – Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
Art. 32 GDPR – Sicurezza del trattamento
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Conclusioni e Raccomandazioni
Gli utenti sono sempre più consapevoli delle leggi in vigore sulla privacy (leggi qui l’articolo “GDPR e privacy: cos’è cambiato con la pandemia?”), più attenti e allo stesso tempo più insicuri riguardo alla protezione dei propri dati (leggi qui l’articolo “GDPR e privacy: cosa dicono i consumatori?”).
A fronte di un costo minimo (l’acquisto di un semplice certificato SSL parte da poche decine di euro) i benefici e la sicurezza che ne derivano valgono di sicuro la spesa.
Senza contare che l’utilizzo del protocollo HTTPS è anche uno dei pochi fattori di ranking noti di Google.
Come qualsiasi altra attività legata all’adeguamento del proprio sito e della propria attività al GDPR e alle altre normative privacy è sconsigliato affidarsi al fai da te per non incorrere in errori che per chi è del mestiere possono essere banali.
Quindi se il tuo sito utilizza il protocollo HTTP hai un problema, ma lo possiamo risolvere insieme, in breve tempo e con una spesa contenuta.
Hai dubbi o necessiti di una consulenza dedicata?
Vedi rendere conforme il tuo sito web alla normativa privacy e cookie?
Vuoi adeguare i trattamenti di dati personali della tua azienda, il tuo studio professionale o attività commerciale?
Contattaci oggi stesso a privacy@microteam.it o compilando il form nella pagina contatti
Dal 2000 Microteam aiuta aziende, professionisti e commercianti che trattano dati personali a farlo in conformità alle principali normative nazionali ed estere.
Ci occupiamo della visibilità, sicurezza e aggiornamento del tuo sito web.
Sei sicuro che il tuo sito web rispetti il GDPR e le altre normative privacy / cookie internazionali?
Sei sicuro che il tuo sito web rispetti il GDPR e le altre normative privacy / cookie internazionali?