Il 5 marzo 2019, il Garante per la Protezione dei Dati Personali ha pubblicato i risultati dell’Indagine internazionale sul rispetto della privacy – Sweep 2018.

Il commento dell’Autorità è stato netto e chiaro “Regioni, Province autonome e società controllate devono ancora impegnarsi per il pieno rispetto del principio di responsabilizzazione (accountability)”.

Dai risultati dell’indagine risultava infatti che il 58% delle regioni non avessero ancora adottato processi documentati per la valutazione dei rischi sulla protezione dei dati personali (DPIA), in relazione all’utilizzo di nuovi prodotti, tecnologie o servizi, come richiesto dal nuovo Regolamento UE 2016/679 (“GDPR”).

L’analisi dei rischi è un processo fondamentale per individuare le misure di sicurezza adeguate e mettere al riparo chi tratta dati personali da eventuali data breach (“violazioni di dati personali”).

Secondo il GDPR, una delle misure di sicurezza più importanti è la “cifratura dei dati personali”, una procedura che permette non solo di proteggere i dati conservati nei database, ma anche di evitare che questi vengano intercettati da soggetti malevoli nell’ambito delle comunicazioni telematiche.

Uno dei protocolli di cifratura più importanti nel mondo del web è l’HTTPS. Su un sito web ha l’obiettivo di garantire la protezione della privacy (riservatezza o confidenzialità) e l’integrità dei dati scambiati tra le parti comunicanti, per esempio tramite un form dei contatti. Le pagine che utilizzano il vecchio protocollo HTTP sono ritenute sempre meno sicure e per questo, dal mese di luglio del 2018, Google Chrome segnala come “non sicuri” i siti web che non sono passati al protocollo HTTPS.

Verificare che la transizione da HTTP a HTTPS sia stata effettuata è una cartina di tornasole importante per controllare se una società o un ente pubblico abbiano svolto un’analisi dei rischi e individuato le adeguate misure di sicurezza, dal momento che l’adozione di tale misura è nella maggior parte dei casi, immediata, semplice ed economica e avviene tramite l’installazione di un certificato SSL.

Per questo motivo, la società di Torino Argo Business Solutions ha svolto una breve indagine sui siti web delle regioni italiane, per verificare lo stato di adozione di tale protocollo.

Dall’indagine è risultato come solo il 10% delle regioni disponga di un sito completamente in HTTPS (Piemonte e Liguria), mentre un sito su due ne è ancora sprovvisto.

Cartellino giallo per 8 Regioni, che si sono dotate di certificato SSL ma hanno ancora una versione online del sito non protetta (redirect non impostato). Tali regioni sono state colorate di arancione nella mappa. 

Le regioni totalmente sprovviste di SSL sono indicate in rosso.

Alcune regioni sono corse ai ripari adottando specifiche precauzioni. Ad esempio, alcune delle Regioni che dispongono di un’area riservata, reindirizzano dei visitatori a un sito esterno protetto dal certificato SSL. La Sicilia, invece, non ha installato form dei contatti o moduli in cui i visitatori possano inoltrare i propri dati personali.

Nonostante le precauzioni adottate, 16 regioni su 20 dispongono di un sito classificato come “Non Sicuro” dai browser.

Anche le quattro regioni virtuose, però, potrebbero gestire direttamente siti web legati ad attività regionali non ancora protetti dal protocollo HTTPS (l’indagine di Argo ha infatti riguardato solo i siti vetrina delle regioni).

Per concludere, in un momento storico in cui i data breach (violazioni di dati personali) sono all’ordine del giorno e i dati dei cittadini sempre più a rischio, occorrerebbe maggiore attenzione da parte delle regioni e dei rispettivi RPD (Responsabili per la Protezione Dati) nella valutazione dei rischi e nell’adozione di adeguate misure di sicurezza. Anche quelle più semplici e banali come l’installazione del certificato SSL.

Ultimo controllo eseguito in data: 13 marzo 2019

L’articolo potrà essere aggiornato periodicamente.

Shares
Share This