L’Agenzia danese per la protezione dei dati ha indagato sulla valutazione dell’Agenzia danese per la digitalizzazione dei rischi per i cittadini che accedono con MitID quando l’agenzia utilizza JavaScript per visualizzare il client di accesso MitID.
L’Agenzia danese per la protezione dei dati ha preso una decisione su un caso riguardante l’uso di JavaScript da parte dell’Agenzia danese per la digitalizzazione. L’Agenzia danese per la digitalizzazione utilizza JavaScript come linguaggio di programmazione per visualizzare il client di accesso MitID, tra le altre cose. L’Agenzia danese per la protezione dei dati ha deciso di indagare sul caso di propria iniziativa sulla base di una richiesta di un cittadino.
L’Agenzia danese per la protezione dei dati ha criticato l’Agenzia danese per la digitalizzazione per non aver dimostrato di aver identificato i rischi che l’uso di JavaScript comporta per gli interessati e per non aver dimostrato di aver introdotto misure tecniche di sicurezza adeguate per proteggere gli interessati da tali rischi. Ciò in base al fatto che l’Agenzia danese per la digitalizzazione non aveva valutato specificamente il rischio per i diritti degli interessati derivante dall’uso di JavaScript.
Mancanza di una valutazione del rischio separata
L’Agenzia danese per la protezione dei dati ha dichiarato che è un prerequisito per l’uso di una tecnologia come JavaScript nelle infrastrutture critiche nazionali (come MitID) che il responsabile del trattamento dei dati conduca una valutazione del rischio separata. Ciò è particolarmente importante quando è noto che la tecnologia può comportare rischi per la sicurezza. A questo proposito, l’Agenzia danese per la protezione dei dati ha osservato che esistono diversi scenari di abuso pubblicamente noti quando si utilizza JavaScript. L’Autorità ritiene pertanto che questi scenari di rischio avrebbero dovuto essere presi in considerazione, se pertinenti.
Nel caso specifico, l’Agenzia danese per la digitalizzazione ha dichiarato di non aver effettuato una valutazione specifica del rischio per i diritti degli interessati nell’utilizzo di JavaScript. Tuttavia, l’Agenzia ha sottolineato che è stata effettuata una valutazione del rischio di MitID, in cui sono stati identificati i rischi pertinenti, compresi i rischi generali relativi alla qualità del codice, di cui fa parte JavaScript.
L’Agenzia danese per la digitalizzazione ha inoltre affermato che JavaScript è un linguaggio di programmazione utilizzato a livello globale per l’integrazione con i browser e che molte delle funzioni e delle applicazioni che rendono Internet utilizzabile oggi sono codificate in qualche forma di JavaScript. L’Agenzia danese per la digitalizzazione ha anche fatto riferimento al fatto che nel 2013 l’agenzia ha fatto valutare le misure di sicurezza per l’introduzione di JavaScript nella soluzione NemID e la conclusione è stata che ci si aspettava che la soluzione JavaScript avesse lo stesso livello di sicurezza, o addirittura un livello potenzialmente superiore, rispetto alla soluzione di allora.
Misure di sicurezza adeguate
Sebbene il GDPR non specifichi quanto dettagliate debbano essere le valutazioni dei rischi, l’Agenzia danese per la protezione dei dati è del parere che il titolare del trattamento sia obbligato a determinare un livello adeguato considerando i rischi concreti e rilevanti, anche in relazione alla tecnologia utilizzata.
“È essenziale che il titolare del trattamento valuti realmente gli scenari d’uso cui sono sottoposti i dati personali di un utente. Questo vale anche se la soluzione è basata su tecnologie standard. Eventuali debolezze progettuali e vettori di attacco noti devono essere inclusi nelle valutazioni che il titolare del trattamento fa per adottare misure di sicurezza adeguate o riprogettare il flusso di trattamento. È inoltre importante tenere presente che una tecnologia standard – non sempre – può fornire la sicurezza necessaria quando il trattamento riguarda scenari in cui la potenziale perdita di diritti da parte dell’utente è significativa”, afferma Allan Frank, specialista di sicurezza informatica e avvocato dell’Agenzia danese per la protezione dei dati.