Alla luce dei sempre più frequenti attacchi informatici – volti ad ottenere le credenziali di accesso a siti web – capaci di dar luogo a fatti particolarmente gravi, quali la fattispecie di furto e/o usurpazione di identità dei soggetti interessati, il Garante per la protezione dei dati personali nel dicembre 2023 è intervenuto sul punto in collaborazione con l’Agenzia per la cybersicurezza nazionale (ACN) definendo delle Linee guida specifiche in materia di conservazione delle password, fornendo così importanti misure tecniche da adottare.
Il Garante è intervenuto ai sensi dell’art. 5, paragrafo 1, lett. f) del GDPR, rivolgendosi a tutti i fornitori di servizi digitali ed agli sviluppatori di software: la finalità dichiarata è rafforzare la sicurezza dei dati personali trattati mediante misure tecniche ed organizzative adeguate, che ha individuato nell’elaborazione di particolari strumenti di crittografia e nel rispetto di una idonea modalità, oltre che in idonee tempistiche di conservazione delle password impostate dagli utenti.
Di conseguenza, è parso utile all’Autorità fornire opportune indicazioni in primis ai titolari e responsabili del trattamento che conservano password di autenticazione dei propri utenti, in modo che possano effettuare scelte tecnologiche consapevoli oppure progettare propri sistemi in linea con la normativa.
Si evidenzia che le misure indicate nelle citate linee guida sono certamente necessarie laddove il titolare gestisse numerose password e/o si trattasse di password che permettono l’accesso a banche dati di particolare importanza o dimensioni (es. dipendenti PA) e/o si trattasse di password di utenti che trattano sistematicamente dati particolari.
In conclusione, si ribadisce che nonostante le password siano trattate nel rispetto delle linee guida, questo non ne giustifica una conservazione superiore al tempo necessario per il raggiungimento della finalità.
Le password dovranno essere cancellate in caso di cessazione dei sistemi informatici o dei servizi online per cui erano state create e di disattivazione o revoca delle credenziali di autenticazione da parte dell’utente.
Nonostante ciò, nel caso in cui – nonostante il rispetto delle suddette linee guida – dovesse essere commessa una violazione, dovranno comunque effettuarsi le dovute valutazioni al fine di ponderare un’eventuale notifica al Garante e comunicazione agli interessati.