Garante per la protezione dei dati personali, provvedimento n. 362 del 31 agosto 2023
Con riguardo alle modalità di accesso, la Società ha precisato che per “l’accesso alla intranet aziendale viene utilizzato il protocollo http ma i dati gestiti nell’applicativo non sono dati personali ma solo documentazione della Società” (nota XX) e che la “username univoca assegnata agli utenti e costituita da 8 caratteri casuali (lettere maiuscole lettere minuscole, numeri)” viene “generata casualmente per evitare che in caso di furto delle credenziali le stesse potessero essere utilizzate altrove” (nota del XX).
Al riguardo, si osserva che la “username univoca assegnata agli utenti” generata casualmente, anche se non risulta composta da dati identificativi degli interessati o parti di essi (es. iniziali o parte del nome, cognome, etc.), in base alla definizione dell’art. 4, paragrafo 1, n. 1 del Regolamento, deve essere considerata un dato personale, in quanto “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online …”).
Non può, pertanto, condividersi quanto affermato dalla Società in relazione alla circostanza che “i dati gestiti nell’applicativo non sono dati personali ma solo documentazione della Società” – poiché, come sopra detto, le credenziali di autenticazione sono dati personali – con la conseguente applicazione della disciplina in materia di protezione dei dati personali.
Ciò premesso, l’utilizzo di tecniche crittografiche, allo stato dell’arte, è una delle misure comunemente adottate per proteggere, in particolar modo, le credenziali di autenticazione degli utenti di un sito/servizio online durante la loro trasmissione su rete internet; ciò, tenuto conto degli elevati rischi presentati dal trattamento di tali dati che possono derivare dall’accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione della tendenza di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso a diversi servizi online.
L’accesso alla intranet in questione avveniva, invece, in modo non sicuro, mediante il protocollo di rete “http” (hypertext transfer protocol). Tale protocollo, infatti, non garantiva la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server che ospita la intranet della Società, e non consentiva agli utenti di verificare l’autenticità del sito web visualizzato. Tenuto conto della natura, dell’oggetto e della finalità del trattamento, nonché dei rischi che insistono sui dati, incluso il rischio di furto di identità, la possibile “clonazione” del sito web in questione a scopo di phishing o, in ogni caso, l’acquisizione delle credenziali di autenticazione per fini illeciti, la soluzione adottata dalla Società non poteva essere considerata una misura tecnica idonea a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, che prevedeva la trasmissione di dati, incluse credenziali di autenticazione, su una rete pubblica di comunicazioni.
Per tali motivi, il mancato utilizzo di tecniche crittografiche per la trasmissione dei dati configura una violazione dell’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento; tale ultima disposizione, al par. 1, lett. a), individua espressamente la cifratura dei dati come una delle misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio (sul punto, cfr. anche il considerando n. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”).