Introduzione
Il protocollo HTTPS è uno strumento utilizzato dalle aziende per rendere più sicuri i propri siti web. Se fino a poco tempo fa il suo utilizzo dipendeva dalla sensibilità dell’azienda verso il tema della sicurezza delle informazioni, una recente sentenza del Garante Privacy italiano ha decretato in specifici casi la sua obbligatorietà. Ecco quando e come il protocollo HTTPS è obbligatorio ai fini GDPR.
Cos’è il protocollo HTTPS
HTTP e HTTPS, acronimi rispettivamente di Hyper Text Transfer Protocol e dil’Hyper Text Transfer Protocol Secure, sono due protocolli di trasmissione dati. Detto in parole semplici, sono dei gruppi di regole che definiscono il linguaggio che consente la trasmissione di dati da un server web a un browser. Semplificando ancora di più, si può dire che è quella tecnologia che consente a un computer di accedere alle pagine di un sito web.
Il protocollo HTTPS si differenzia dall’HTTP per essere “più sicuro” in quanto con questa tecnologia la comunicazione tra il browser e il server è crittografata. Ciò significa che anche se dei criminali informatici fossero in grado di intercettare tali dati, non sarebbero in grado di decodificarli e capirne quindi il contenuto.
L’uso del protocollo HTTPS era stato inizialmente introdotto per rendere più sicure le transazioni finanziarie online, ma nel tempo è diventato una prassi per tutti quei siti web, in particolare modo per quelli su si effettuano acquisti online (gli e-commerce) per proteggere dati particolari come numeri di carta di credito, indirizzo di casa e numero di telefono. Con l’avvento del GDPR, era solo questione di tempo prima che il protocollo HTTPS diventasse indispensabile anche in altri contesti.
Perché sempre più aziende adottano il protocollo HTTPS per i propri siti web
Ci sono diversi motivi per cui, indipendentemente dal GDPR, sono sempre più le aziende che decidono di applicare il protocollo HTTPS ai propri siti web:
- Sicurezza dei dati: il protocollo HTTPS garantisce che i dati trasmessi tra un browser e un server siano maggiormente protetti contro gli attacchi di hacker.
- Autenticità: offre maggiori certezze ai visitatori del sito web sul fatto che stiano comunicando con un sito web autorevole e non con un sito web fraudolento.
- Integrità dei dati: l’adozione di questo protocollo rassicura che i dati trasmessi tra un browser e un server non siano stati modificati durante la trasmissione.
- Posizionamento migliore del sito web sui motori di ricerca: quanto un utente effettua una ricerca su internet relativo a un argomento, i siti che trattano quel tema avranno la precedenza nel comparire tra i risultati di ricerca rispetto ad altri siti che non utilizzano il protocollo HTTPS
- Privacy degli utenti: protegge la privacy degli utenti impedendo ai malintenzionati di appropriarsi indebitamente dei loro dati.
Casi in cui il protocollo HTTPS è diventato obbligatorio ai fini GDPR
Se fino a non molto tempo fa il protocollo HTTPS veniva applicato solo su iniziativa delle organizzazioni allo scopo di offrire una maggiore sicurezza agli utenti dei proprio siti web, una recente sanzione del Garante privacy ha cambiato le carte in tavola.
A seguito di tale sentenza infatti è stato decretato che le organizzazioni sono tenute ad adottare il protocollo HTTPS, di fatto, a tutte le pagine e sezioni dei propri siti web in cui l’utente digita, compila o inserisce dei dati personali.
A titolo esemplificativo ma non esaustivo, è obbligatorio adottare il protocollo HTTPS per le pagine o sezioni del sito web in cui vi è:
- Un form di raccolta dei dati (il classico form con su scritto “Inserisci i tuoi dati per essere ricontattato”)
- Una transazione online (e-commerce)
- Aree riservate del sito
- Sezioni in cui bisogna inserire password o credenziali di accesso.
Come capire se il proprio sito web utilizza il protocollo HTTPS
Scoprire se il proprio sito web utilizza il protocollo HTTPS è molto semplice: è sufficiente navigare sul sito web dell’organizzazione e cliccare sulla barra degli indirizzi (quella in cui c’è scritto www.nomesito.it).
Se in tale barra, sulla sinistra dell’indirizzo web, è presente un’icona a forma di lucchetto o vi è il suffisso “https://www.nomesito.it”, allora quella sezione del sito web utilizza il protocollo HTTPS. Se invece non vi è alcun lucchetto né il suffisso è http://www.nomesito.it (senza “s” dopo http), allora quella pagina web non sta adottando il protocollo HTTPS.
Come applicare il protocollo HTTPS al proprio sito web per essere a norma di GDPR
Per applicare il protocollo HTTPS a un sito web aziendale è necessario acquistare un certificato SSL abilitato e installarlo sul proprio sito web seguendo le istruzioni del proprio fornitore di servizi hosting.
Di seguito si riportano i link di alcuni fornitori alle pagine dedicate al tema:
Conclusioni
Se anche la tua azienda presenta un sito web con un’area riservata, il classico form per la raccolta dati o simili, per essere a norma di GDPR deve necessariamente adottare il protocollo HTTPS.
Al di là di ciò, ci sono diversi altri obblighi relativi ai siti web per renderli a norma di GDPR, tra cui la necessità di tenere l’informativa privacy del sito e la cookies policy separate nonché altre esigenze legate alla peculiari caratteristiche della propria organizzazione.
Per maggiori informazioni, clicca sul pulsante sottostante e richiedi la tua consulenza GDPR su misura con i nostri professionisti.
