Il Garante della privacy aveva ricevuto la segnalazione da un utente dell’azienda Servizio Idrico Integrato S.c.p.a. in merito al mancato utilizzo del protocollo TLS nell’area riservata del sito www.siiato2.it. Per l’accesso è richiesto l’inserimento di username e password, ma era stato utilizzato il protocollo HTTP.
L’azienda ha comunicato che il passaggio al protocollo sarebbe avvenuto a breve e ha inoltre specificato che nell’area riservata ci sono i dati dei clienti, le bollette emesse e altri servizi, tra cui l’autolettura. Non sono presenti dati di pagamento perché non è possibile pagare online o attivare la domiciliazione. In ogni caso non risultano violazioni dei dati.
Il Garante ha tuttavia rilevato che la soluzione adottata dall’azienda violava importanti principi sanciti dal GDPR, tra qui quello di integrità e riservatezza dei dati trattati e quello di protezione dei dati fin dalla progettazione.
Nel comminare l’entità della sanzione pari a 15.000 euro, il Garante ha tenuto conto dell’elevato numero di utenti coinvolti, circa 13 mila, e del fatto che, l’azienda non si sarebbe attivata per l’apertura di un’istruttoria nonostante due segnalazioni ricevute da parte del reclamante. Detto questo l’impresa avrebbe comunque avuto un atteggiamento collaborativo nel corso dell’istruttoria e non sarebbe stata protagonista di violazioni analoghe in precedenza.
L’Autorità ha sottolineato inoltre che questi obblighi si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento, risalente al 25 maggio 2018, e ne sono quindi assoggettati tutti i siti web che prevedono il trattamento dei dati personali.
