Enti locali: come gestire un sito internet sicuro e in regola

Il sito internet costituisce una possibile vulnerabilità del perimetro di sicurezza informatica e di protezione dei dati dell’Ente: la guida in 4 punti del nostro esperto per non farsi cogliere impreparati

12 Dicembre 2022
Modifica zoom
100%
di LUISA DI GIACOMO*

Come ogni “azienda” che si rispetti, anche gli Enti locali hanno un proprio sito internet istituzionale, vetrina dell’amministrazione, delle attività, dei servizi offerti ai cittadini. Tuttavia, forse non tutti sanno che il sito internet costituisce una possibile vulnerabilità del perimetro di sicurezza informatica e di protezione dei dati dell’Ente, per due motivi: in primo luogo perché, se non sicuro, può essere preso di mira da cybercriminali e in secondo luogo perché è dal sito internet che potrebbero partire verifiche e controlli da parte dell’Autorità Garante per la Protezione dei dati personali: proprio perché costituisce una vetrina verso il mondo esterno, è necessario che la vetrina sia “pulita” ovvero sicura e in regola con la normativa.
Ecco quindi una breve guida in quattro punti pratici per avere un sito internet dell’Ente locale sicuro e a prova di Garante.

La scelta dei fornitori

Spesso la cultura popolare ci aiuta a compiere scelte accurate e quindi ricordiamo i nostri saggi nonni che consigliavano che chi più spende meno spende: non è detto che il fornitore più economico si riveli essere il più conveniente, sul lungo periodo.
Naturalmente le amministrazioni locali sono tenute a fare i conti con le normative sulla trasparenza, poiché gestiscono denaro pubblico, con il fatto di dover fare quadrare i bilanci (come qualsiasi altra azienda, privata o pubblica) ed hanno, come noto, limitazioni per quanto riguarda le offerte dei fornitori e la valutazione dei diversi preventivi. Tutto questo è perfettamente corretto, ma si traduce purtroppo in criteri di scelta che non sempre rispecchiano la qualità, ma soltanto l’offerta economicamente più vantaggiosa. Che magari lo è nell’immediato, perché costa di meno, ma potrebbe non esserlo in sede di eventuale controllo o nella malaugurata ipotesi di un attacco. I fornitori del sito dell’Ente che vuole essere compliant e sicuri, devono, a loro volta, essere compliant e sicuri.
Quindi al momento della scelta è opportuno preoccuparsi di sapere dove si trova il server su cui poggia il sito, quali sistemi di sicurezza sono adottati non solo sul sito dell’Ente, ma più in generale all’interno dell’organizzazione del fornitore, specie se questi deve essere nominato responsabile esterno del trattamento o amministratore di sistema: questo non solo perché i dati che transitano sul sito, di cui l’Ente è Titolare, verranno visti anche da terzi, ed è fondamentale definire e stabilire i ruoli in merito al trattamento, ma anche perché un eventuale attacco di cybercrime nei confronti del nostro fornitore si riverbera necessariamente anche sull’Ente (che ne deve essere prontamente informato ed a sua volta deve valutare se necessario informare i cittadini e il Garante).

>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.

Il sito deve essere sicuro

Se il sito è la nostra vetrina, vogliamo che questa vetrina sia infrangibile, cioè sicura. Peraltro, è davvero un pessimo biglietto da visita atterrare sul sito di un Ente locale e leggere sulla barra degli indirizzi del browser “non sicuro” vicino all’indirizzo.
Il sito DEVE trasmettere i dati in protocollo https e non semplicemente http, come purtroppo avviene per tanti, troppi siti istituzionali.
Quella S alla fine vuol dire proprio “secure”, sicuro e non si tratta solo di un problema di immagine, ma anche di sicurezza nella trasmissione delle informazioni.
Https vuol dire che i contenuti del sito saranno criptati, e transiteranno su server protetti. Oltre a questo, avere il sito non sicuro, non lascia presagire nulla di buono circa il trattamento dei dati dei cittadini non solo online, ma anche offline, nei locali del Comune stesso.
Acquistare un certificato SSL e mantenerlo valido ed aggiornato avrà una triplice funzione: fornirà una immagine di serietà, proteggerà nella pratica i dati degli utenti ed eviterà che il Garante pensi che si prende sotto gamba la normativa in tema di protezione dei dati, decidendo magari fare una capatina presso l’Ente.

Informativa cookies e banner

La tematica dei cookie e degli altri sistemi di tracciamento online è stata ampiamente analizzata in questa rubrica ed il garante sembra che ultimamente se ne stia occupando in maniera particolarmente pressante, non solo perché i cookie tracciano il comportamento degli utenti online, ma anche perché i sistemi di tracciamento sono forieri di ransomware e altri malware. Il fornitore (che avremo scelto con cura, secondo quando poco prima esplicitato) dovrà fornirci un elenco preciso ed esaustivo dei cookie presenti sul sito, per poi predisporre il relativo banner e l’informativa adeguata. Peraltro, se il sito dell’Ente ha finalità meramente istituzionali, è del tutto inutile inserirvi sistemi di tracciamento tipici del marketing online, quali cookie analitici e di profilazione, che non servono a nulla e anzi portano con sé difficoltà di gestione e tracciamento dei consensi.
In ogni caso, dalla risposta del webmaster sui tipi di cookie presenti dipenderanno le decisioni dell’Ente: la cookie policy deve essere precisa e formulata ad hoc per il sito a cui si riferisce e non copiata da uno simile, perché non è detto che i sistemi di tracciamento siano uguali per tutti.

Privacy policy

Anche la privacy policy del sito non dovrà essere copiata e dovrà indicare nello specifico quali dati vengono trattati, (nel caso di un Ente con un sito istituzionale si presume solo quelli di navigazione), in particolare modo quelli forniti volontariamente, in caso di presenza di newsletter o moduli di contatto.
La policy deve contenere tutti i requisiti previsti dagli artt. 13 e 14 del GDPR.
Personalmente, suggerisco ai Comuni per i quali curo la consulenza di prevedere una sezione privacy per inserire tutte le informative dell’Ente (sì, al plurale e no, non è un refuso), ovvero non solo la policy del sito, ma anche tutte quelle che l’Ente deve possedere (ad esempio l’informativa bandi di gara, quella per l’anagrafe, quella per i tributi, quella per la biblioteca, quella per il trattamento dei curriculum vitae (nel caso di invio spontaneo di candidature) e quelle per trattamenti particolari eventualmente effettuati.
In questo modo, non solo l’Ente Titolare dimostrerà di essere sempre ben consapevole dei dati trattati, ma gli interessati avranno sempre sotto controllo i propri dati e potranno esprimere le preferenze in piena consapevolezza.

I martedì della cybersecurityL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

Scrivi un commento

Accedi per poter inserire un commento