Piattaforma Rousseau, Garante Privacy ‘Violazioni nel trattamento dati utenti, si valutano sanzioni’

Il Garante Privacy, dopo un’istruttoria di merito nei confronti di Rousseau, sistema operativo del M5s, ipotizza sanzioni per violazione dei dati e detta una serie di misure da adottare.

Nuova tegola contro Rousseau, il “sistema operativo” del Movimento 5 stelle, all’interno del quale gli iscritti possono scambiarsi opinioni e votare sui provvedimenti di legge. Il Garante della privacy dopo un’istruttoria di merito iniziata quest’estate ora ipotizza sanzioni per violazioni nel trattamento dei dati personali “dell’Associazione Rousseau, responsabile del trattamento dati del sito del Movimento 5 Stelle e della piattaforma Rousseau” e detta una serie di misure da adottare.

Nel provvedimento il Garante indica alcuni interventi per aumentare il livello di sicurezza, per rendere più consapevoli gli utenti dei flussi di dati personali (sia rispetto alle varie componenti della cosiddetta galassia 5 Stelle, sia rispetto alle società esterne che svolgono ruoli di supporto tecnico), per evitare il ripetersi di episodi del tipo di quelli verificatisi. Nel lungo provvedimento, il garante Antonello Soro si riserva di valutare sanzioni amministrative nei confronti dell’Associazione Rousseau.

Gli articoli del codice della privacy a cui si fa riferimento sono il 161 e il 162: “La violazione delle disposizioni di cui all’articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro” e  “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell’articolo 33 o delle disposizioni indicate nell’articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all’articolo 33 è escluso il pagamento in misura ridotta”.

Inoltre il Garante della privacy sottolinea: “Con riferimento al database Rousseau, il documento trasmesso all’Autorità recante ‘Estratto delle tabelle principali di Rousseau’, ha permesso di valutare alcuni aspetti relativi alla riservatezza delle operazioni di voto elettronico svolte tramite la piattaforma; in particolare, l’esame delle predette tabelle ha mostrato come l’espressione del voto da parte degli iscritti, in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica, venga registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti”.

“Nello schema del database risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondende al rispettivo iscritto votante”: spiega il Garante, che prescrive quali misure necessarie si devono attuare. Ad esempio l’adozione di accorgimenti per il sistema di e-voting in modo da minimizzare i rischi per i diritti e per le libertà delle persone fisiche, prevedendo la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto. A tale scopo andrà modificato lo schema del database laddove prevede l’utilizzo del numero telefonico dell’iscritto in connessione ai voti elettronici espressi.

Nei confronti dei siti www.beppegrillo.it e www.blogdellestelle.it, invece, il Garante prescrive l’adozione di una specifica modalità di acquisizione del consenso al trattamento dei dati per finalità di promozione commerciale e pubblicitaria e l’indicazione nell’informativa dei soggetti ai quali i dati sono comunicati. E nei confronti di tutti i titolari del trattamento il Garante prescrive misure e accorgimenti per garantire che i futuri sviluppi della piattaforma Rousseau e degli altri strumenti online del Movimento siano sempre essere validati sul piano della sicurezza informatica da adeguate azioni di ‘vulnerability assessment’. Il Garante impone, inoltre, l’adozione di misure che assicurino una maggior sicurezza delle password degli utenti e del protocollo di rete https per l’accesso a tutti i contenuti del sito www.movimento5stelle.it, basato su un certificato digitale emesso da una Certification Authority riconosciuta. Sul database del sistema Rousseau dovranno essere, inoltre, adottate misure che consentano l’auditing informatico mediante la tenuta delle registrazioni degli accessi e delle operazioni compiute.

Insomma: non c’è pace per Rousseau. Dopo la vicenda delle incursioni dei pirati informatici del 3 agosto scorso e un mese dopo le votazioni online del candidato premier. Il 2 agosto Davide Casaleggio aveva illustrato alla stampa estera la nuova piattaforma – “il motore del Movimento” – e come abbia “cambiato il modo di fare politica”. Un modo per ampliare i sostenitori anche a chi non ha username e password di accesso al sito di Beppe Grillo.

Il problema principale riscontrato dal garante è il fatto che Wind Tre e Itnet non sono indicate come responsabili del trattamento dei dati personali degli utenti anche se la struttura tecnica è affidata, da Rousseau, a queste due aziende. Le due società, evidenzia il Garante, “dovrebbero essere entrambe nominate quali responsabili del trattamento da parte del relativo titolare” altrimenti – si legge nel provvedimento del 21 dicembre reso noto oggi – “si configura l’illecità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati”.

Gli attacchi al sistema Rousseau hanno svelato falle nella sicurezza del cuore pulsante della democrazia diretta del movimento 5 Stelle. Come ha ammesso in agosto Alessandro Di Battista, il problema della sicurezza di Rousseau “esiste eccome”. Anche se, durante la conferenza stampa di presentazione del portale lo scorso due agosto, alla domanda sulla certificazione delle votazioni online la risposta del manager fu molto vaga: “Abbiamo lavorato molto alla sicurezza del voto, che è una delle funzioni più delicate dell’intero sistema”.

© 2017 Associazione Privacy Italia - C.F. 91039930192 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL