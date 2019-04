L'esito dell'attività ispettiva svolta dal Garante della privacy sulla piattaforma Rousseau ha "condannato" l'Associazione presieduta da Davide Casaleggio a pagare una multa di 50mila euro e a predisporre una serie di misure correttive, pena ulteriori sanzioni.

Al termine di una istruttoria durata due anni, l'autorità garante per la protezione dei dati personali ha sancito che "la piattaforma Rousseau non gode delle proprietà richieste a un sistema di evoting... che prevedono la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico".

Secondo il Garante Privacy la regolarità delle operazioni di voto è "affidata alla correttezza personale e deontologica degli incaricati di queste delicate funzioni tecniche cui viene concessa una elevata fiducia in assenza di misure di contenimento delle azioni eseguibili e di suddivisione degli ambiti di operatività".

Il Garante rileva inoltre che il sistema "non appare in grado né di prevenire gli eventuali abusi commessi da addetti interni... né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività".

Il Garante Privacy ha deciso quindi di multare l’Associazione Rousseau al pagamento di una multa di 50 mila euro. Il Garante Privacy ingiunge inoltre all’Associazione Movimento 5 Stelle e all’Associazione Rousseau quale responsabile del trattamento dei dati personali di provvedere ai seguenti punti:

4.1 Al riguardo, ai sensi dell’art. 58, comma 2, lett. d) del Regolamento, il Garante ingiunge all’Associazione Movimento 5 Stelle e all’Associazione Rousseau quale responsabile del trattamento, di provvedere :

1. a completare l’adozione delle misure necessarie di auditing informatico previste al par. 7, lett. E, del provvedimento n. 548, prevedendo che anche gli accessi al database effettuati tramite interfaccia XX siano oggetto di completa registrazione in modo da consentire la verifica a posteriori delle attività compiute (cfr. punti 2.1 e 3.3), entro il termine di 60 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

2. a rimuovere la criticità emersa a seguito dell’accertamento ispettivo del novembre 2018, come evidenziata ai punti 2.1 lett. e) e 3.5 - ovvero provvedere ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi definendo per ciascuno i differenti profili di autorizzazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

3. entro il termine di 120 giorni dalla ricezione del presente provvedimento, ai fini del rispetto del principio di responsabilizzazione di cui all’articolo 24 del Regolamento, ad una rivisitazione complessiva delle iniziative di sicurezza adottate (cfr. par. 3.1 sulle “Attività di vulnerability assessment”),alcune delle quali, per quanto conformi, in termini di stretto adempimento, alle prescrizioni di cui al par. 7, lett. A del provvedimento n. 548 del 2017, risultano comunque inficiate nella loro efficacia dalle gravi limitazioni tecniche intrinseche al sistema utilizzato (CMS - Movable Type 4). L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

4. all’effettuazione, entro il termine di 60 giorni dalla ricezione del presente provvedimento, di una valutazione d’impatto sulla protezione dei dati, specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma. Solo in base ad una rigorosa progettazione e a una attenta valutazione dei rischi è, infatti, possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’ autenticità e la riservatezza delle espressioni di voto. Le conclusioni della valutazione d’impatto dovranno pervenire a questa Autorità entro 70 giorni dalla ricezione del presente provvedimento. L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Tali termini sono commisurati tenendo conto dell’urgenza di assicurare l’integrità, resilienza e sicurezza di una piattaforma, quale quella in esame, utilizzata per l’esercizio dei diritti politici dei cittadini.

4.2 Ciò posto, si evidenzia che le predette criticità, come constatate e accertate dall’ufficio del Garante, costituiscono una violazione dell’art. 32 del Regolamento (UE) 2016/679 che individua alcuni parametri di sicurezza che il titolare e il responsabile del trattamento sono tenuti ad adottare al fine di garantire un livello di sicurezza adeguato in rapporto al rischio per i diritti e le libertà delle persone.

In particolare:

1) il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute (di cui alla specifica misura necessaria, tecnica e organizzativa, prescritta dall’Autorità con il provvedimento del 21 dicembre 2017 e oggetto di due proroghe) configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché delle funzionalità che le caratterizzano (tra cui, in particolare, il sistema di e-voting che deve essere necessariamente assistito da idonei accorgimenti a tutela dei dati personali dei votanti). Ciò a maggior ragione tenendo conto che tali banche dati sono particolarmente esposte al rischio di attività di hakeraggio o comunque ad attacchi informatici, quali quelli verificatisi più volte, anche successivamente al data breach di agosto 2017;

2) l’accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività, nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza (cfr. regole nn. 2, 3 e 13 del disciplinare tecnico di cui all’allegato B del Codice) che i titolari del trattamento erano tenuti ad adottare al fine di assicurare un livello minimo di protezione dei dati personali. E’ pertanto evidente come la mancata adozione di tali misure e, per converso, l’avvenuta condivisione delle credenziali di autenticazione tra più soggetti legittimati alla gestione della piattaforma rappresentino una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate.

4.3 La violazione dell’art. 32 del Regolamento (UE) 2016/679, richiamata al paragrafo 4.2 è sanzionata ai sensi dell’art. 83, par. 4, lett. a) del Regolamento.

Pertanto, accertata la responsabilità, per la predetta violazione, dell’Associazione Rousseau quale responsabile del trattamento, in considerazione di quanto disposto dall’articolo 166, comma 5, del Codice, si ingiunge alla suddetta associazione, quale trasgressore, ai sensi dell’art. 58, paragrafo 2, lettera i) del Regolamento, il pagamento di euro 50.000, quale sanzione ritenuta adeguata ai sensi dell’art. 83, paragrafo 1, lettere a), c), d), f) e g) del medesimo Regolamento.

Deve, infatti, rilevarsi come, per un verso, il trattamento in questione concerna anche dati particolari di cui all’art. 9 del Regolamento (parametro rilevante ai sensi dell’art. 83, paragrafo 1, lettera g), la violazione si sia protratta per un tempo significativo, interessando un rilevante numero di soggetti, evidenziando altresì il ricorso a misure tecniche e organizzative carenti, nonché a dispositivi e sistemi obsoleti (criteri valevole ai fini dell’art. 83, paragrafo 2, lettera a) e, rispettivamente, lettera d del Regolamento).

Per altro verso, tuttavia, deve prendersi atto del percorso di progressivo adeguamento e miglioramento delle misure di sicurezza adottate al fine di rafforzare la resilienza della piattaforma: elemento rilevante ai fini di cui al citato art. 83, paragrafo 2, lettere c) ed f) .

Va infine considerata la natura, di associazione finalizzata all’esercizio di diritti politici dei cittadini, del trasgressore nonché il disposto di cui all’art. 22, comma 13, del decreto legislativo 10 agosto 2018, n. 101, in ordine all’irrogazione delle misure sanzionatorie nei primi otto mesi dell’applicazione della nuova disciplina.