Il Garante per la protezione dei dati personali ha inflitto una multa di 15.000 euro all’azienda “Servizio Idrico Integrato S.c.p.a.” che offriva l’accesso ai servizi online senza crittografia e mancando quindi all’obbligo di proteggere, in particolar modo, le credenziali di autenticazioni degli utenti secondo l’attuale protocollo di sicurezza HTTPS.
La soluzione adottata dall’azienda violava così importanti principi sanciti dal GDPR, tra cui quello di integrità e riservatezza dei dati trattati e di protezioni dei dati fin dalla progettazione. Altrimenti il titolare deve mettere in atto misure tecniche e organizzative:
- idonee a garantire un livello di sicurezza adeguato al rischio, come la cifratura;
- adeguate a tutelare i dati personali e successivamente effettuare revisioni periodiche delle misure di sicurezza adottate.
Gli obblighi (sopra sintetizzati) si applicano, come precisato dal Garante della privacy, anche ai sistemi preesistenti all’entrata in vigore del regolamento (25 maggio 2018).
Per approfondimenti clicca qui.