La Manutenzione è obbligatoria per tutti quei siti web che fanno uso dei dati personali degli utenti, ossia un qualsiasi tipo di sito che registri dati personali nel proprio database. Il Titolare del sito web infatti è legalmente responsabile di come questi dati vengono gestiti e tenuti al sicuro.
Un esempio concreto sono gli E-commerce.
Più sinteticamente possiamo dire che: SE dall’area amministrativa del tuo sito puoi accedere a uno o più dati personali degli utenti che hanno acquistato, o che si sono registrati, o che hanno compilato un Form (es. quando si usa il plugin “Flamingo” et similia) allora fai uso dei dati personali di quegli utenti e la manutenzione è obbligatoria, oltre naturalmente a tutto il corredo legale relativo alle Informative sulla Privacy, che per l’appunto informano l’utente sul numero e sul tipo di dati acquisiti (es.: nome, cognome, indirizzi ecc..), e sulle modalità in cui questi dati vengono trattati (finalità) e per quanto tempo, così come stabilito dalle vigenti normative sulla Privacy.
Come si evince da questa premessa, basta che sia presente anche un solo componente aggiuntivo sul sito per stravolgere completamente le modalità a cui il titolare dovrà attenersi per rispondere correttamente alle normative. Per questo motivo suggeriamo sempre una consulenza iniziale.
Ma perché la Manutenzione del sito web è obbligatoria?
Qui entriamo in uno scenario normativo complesso e che abbiamo cercato di riassumere in chiave di lettura semplificata, con l’aiuto di Cybersecurity360 (testata editoriale con approfondimenti, guide e casi studio sulla Cyber Security in Italia.)
L’articolo 32 del Regolamento 2016/679 (meglio conosciuto come GDPR) stabilisce che: “tenendo conto dello stato dell’arte e dei costi di attuazione, […], il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”.
Inoltre, il paragrafo 2 della norma opera un’importante specifica in proposito: “Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati“.
Pertanto, dall’analisi dell’art. 32 del GDPR si evince l’obbligo per il titolare del sito web e il responsabile del trattamento (DPO), di predisporre adeguate misure tecniche allo scopo di ovviare ai rischi che possono presentarsi a causa di accessi illegali ai dati personali, proprio come avviene in caso degli attacchi hacker.
Non è casuale il riferimento allo “stato dell’arte” all’interno dell’articolo 32 del GDPR. Infatti, nel predisporre le tecniche organizzative adeguate per la tutela dei dati personali, i titolari e i responsabili del trattamento devono tenere debito conto dei progressi compiuti dalle tecnologie disponibili sul mercato. In altre parole NON si possono ignorare gli aggiornamenti di sicurezza disponibili per WordPress e i suoi componenti (Temi e Plugin), poiché ignorarli significa aumentare il rischio di subire attacchi esterni.
Importante considerare che tra le misure tecniche e organizzative adeguate rientra anche il principio di protezione dei dati personali fin dalla progettazione (privacy by design) di cui all’articolo 25 GDPR.
Ai sensi dell’art. 25 par. 1 del GDPR il principio di privacy by design si basa sulla predisposizione, da parte del titolare del trattamento di misure tecniche e organizzative adeguate a partire dalla fase di progettazione di un sito, un processo, prodotto o servizio, il quale implichi un trattamento di dati personali. In sintesi un piano di manutenzione dovrebbe essere attuato fin dalla costruzione del sito e non dopo mesi o anni.
Questo non significa necessariamente che si debba pagare un piano di manutenzione, ma che è necessario avere le competenze tecniche per capire quando e come vanno aggiornati i componenti del sito, operando una manutenzione regolare a tutti gli effetti, al fine di evitare possibili problemi di sicurezza che potrebbero intaccare la privacy dei dati trattati dal sito stesso, attuando così tutte le misure disponibili allo “stato dell’arte”.
Esempio pratico estratto da un caso realmente accaduto:
Se non si aggiornano i componenti del sito potrebbe succedere che questo subisca un attacco hacker e che i dati in esso contenuti vengano sottratti e divulgati nel dark-web, ossia il cosiddetto “data-breach”. Scoperto ciò il titolare ha l’obbligo per legge di informare il Garante per la privacy, fornendo tutti i dettagli del sinistro, e informare altresì i clienti interessati dal problema.
Ammettiamo di non volerlo fare per N motivi: Se per qualunque ragione quei dati sottratti venissero alla luce del sole (o fossero utilizzati per scopi fraudolenti) e si riesce a risalire al tuo sito come origine della divulgazione – contestualmente potrebbe essere chiamata in causa dal Garante una perizia sul tuo sito. Se si certifica che il tuo sito poteva essere aggiornato molto tempo fa e non è stato fatto – causando la falla che ha facilitato l’attacco haccker – si rischia seriamente di incorrere in diversi profili di responsabilità penale e civile per la non osservanza delle normative GDPR, con sanzioni comminate dal Garante per cifre anche molto elevate. Tutto dipende dal numero dei dati sottratti e divulgati e dalla sensibilità degli stessi.
Viceversa se si dimostra che gli ultimi aggiornamenti disponibili erano comunque stati fatti, e che tutta la parte di sicurezza era stata attuata correttamente – anche avvalendosi di servizi esterni – si parla di incidente colposo (senza dolo) e solitamente il Titolare non incorre in alcun tipo di sanzione.
Per approfondire ulteriormente la questione in termini legali, vi suggeriamo di leggere questo articolo ufficiale di Cybersecurity360, che ha analizzato a fondo la questione sotto tutti i punti di vista, riportando anche un altro caso recentemente accaduto.