Provvedimento del 16 maggio 2018

[doc. web n. 8999795]

Registro dei provvedimenti
n. 289 del 16 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”);

VISTO il provvedimento n. 548 del 21 dicembre 2017, doc. web n. 7400401, con il quale l’Autorità, a conclusione dell’istruttoria relativa alla violazione dei sistemi informatici riferiti alla Piattaforma Rousseau e ad altri siti connessi al Movimento 5 Stelle, ha prescritto nei confronti dei relativi titolari del trattamento, ai sensi dell’art. 154, comma 1, lett. a), b) e c) del Codice, l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti dei predetti siti web conformi ai princìpi della disciplina in materia di protezione dei dati personali;

VISTA, in particolare, la prescrizione di cui al punto 1) del dispositivo relativa all’adozione di misure necessarie riguardanti i profili concernenti la sicurezza informatica di cui al paragrafo 7 del provvedimento e il conseguente invito, ai sensi dell’art. 157 del Codice, a comunicare all’Autorità, entro 60 gg. dalla ricezione del provvedimento medesimo, le iniziative intraprese al fine di dare attuazione a quanto prescritto;

VISTA la nota del 20 febbraio 2018, con la quale il dott. Davide Casaleggio, in qualità di legale rappresentante dell’Associazione Rousseau, ha dato conto delle misure di sicurezza già adottate chiedendo, al contempo, la proroga del termine fissato dal Garante per dare compiuta attuazione alla prescrizione di cui al punto E. del par. 7 del provvedimento;

VISTA l’ulteriore nota del 27 febbraio 2018 con la quale Giuseppe Piero Grillo, nel rinviare, per quanto attiene alle misure di sicurezza, alla nota dell’Associazione Rousseau anzi citata, ha comunicato che, “con riferimento al sito www.beppegrillo.it, lo stesso è oggi basato su una piattaforma completamente rivista, in gestione a Beppegrillo s.r.l. (…) e rispetto alla quale l’Associazione Rousseau non è più responsabile del trattamento”; visto altresì che nella medesima nota ha dichiarato che con riferimento al medesimo blog “al momento non vi è alcuna possibilità per i navigatori del blog di iscriversi e lasciare i propri dati personali (…)”;

CONSIDERATO che dall’approfondimento e dalle verifiche tecniche delle misure di sicurezza adottate - come descritte nella nota del 20 febbraio 2018 - sono emersi alcuni profili di criticità rispetto ai quali si rende necessario acquisire ulteriori informazioni e/o documentazione al fine di poter valutare l’effettivo adeguamento alle prescrizioni impartite.

RILEVATO in particolare che:

1. con riferimento alla misura di cui al punto A. (par. 7 del provvedimento), la risposta fornita può essere considerata temporaneamente soddisfacente del requisito metodologico di data protection by design (art. 25 Regolamento UE 2016/679) ma deve essere integrata con l’indicazione dell’operatore (società o professionista) che ha condotto l’assessment e dagli esiti di tale attività in forma di report tecnico;
2. con riferimento alla misura di cui al punto B., la stessa risulta solo parzialmente soddisfatta in quanto, posta l’adeguatezza del sistema di protezione reCaptcha, le ulteriori misure (lunghezza delle password e controllo di qualità) non possono essere limitate ai nuovi iscritti e agli interessati che spontaneamente modifichino la password. Occorre piuttosto intraprendere una campagna di invito alla modifica della password nei confronti degli interessati già iscritti, prevedendo l’obbligo di attuare tale modifica alla prima sessione di collegamento utile attivata con le credenziali (tuttora) deboli;
3. con riferimento alla misura di cui al punto C., le verifiche tecniche effettuate confermano che la prescrizione è stata assolta;
4. con riferimento alla misura di cui al punto D., al fine di consentire a questa Autorità di verificare la veridicità di quanto dichiarato, si rende necessario acquisire la documentazione relativa al codice di programmazione modificato per implementare la nuova funzione di sicurezza (cd. codice sorgente);
5. con riferimento alla misura di cui al punto F., dalle verifiche effettuate è risultato che il blog in questione è stato spostato su una piattaforma software completamente differente da quella precedente (che è stata dismessa) e sul nuovo blog non è effettivamente possibile creare un account personale e inserire commenti.

RITENUTO che, con riferimento ai profili di sicurezza informatica sopra evidenziati (punti 1,2 e 4), l’Associazione Rousseau - o l’eventuale nuovo soggetto giuridico cui sia stata attribuita la titolarità dei siti web (e dei relativi trattamenti di dati personali) coinvolti nella violazione di dati personali di cui al provvedimento del 21 dicembre 2017 -, è tenuta a comunicare a questa Autorità, entro la data del 30 giugno 2018, ogni informazione e/o documentazione che consenta di valutare l’effettivo adempimento delle prescrizioni di cui ai punti A, B e D del paragrafo 7 del provvedimento medesimo;

RILEVATO che, con riferimento alla prescrizione di cui al punto E. del par. 7 del medesimo provvedimento, l’Associazione Rousseau ha chiesto all’Autorità la proroga del termine fissato per dare compiuta attuazione alla stessa; ciò, in quanto sebbene sia stata intrapresa una “ricerca di mercato” per l’affidamento del servizio di auditing informatico in outsourcing, tale attività avrebbe subìto rallentamenti in ragione della riorganizzazione associativa del Movimento e degli impegni connessi al recente periodo di campagna elettorale; ritenuto che, sul punto, sia ragionevole concedere una proroga del termine fissato con il provvedimento del 21 dicembre 2017 sino alla data del 30 settembre 2018;

RICORDATO infine che a far data dal 25 maggio 2018 saranno pienamente applicabili tutte le disposizioni di cui al Regolamento UE 679/2016 alle quali, pertanto, i soggetti destinatari del presente provvedimento dovranno pienamente adeguarsi;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIO’ PREMESSO IL GARANTE

riservata ogni ulteriore verifica e valutazione in ordine al complessivo adempimento delle prescrizioni impartite con provvedimento n. 548 del 21 dicembre 2017, ai sensi dell’art. 154, comma 1, lett. c) a parziale modifica dello stesso, fissa i seguenti termini:

1. il 30 giugno 2018 per la comunicazione all’Autorità di ogni informazione e/o documentazione che consenta di valutare l’effettivo adempimento delle prescrizioni di cui ai punti A, B e D del paragrafo 7 del provvedimento del 21 dicembre 2017;
2. il 30 settembre 2018 per l’effettivo adempimento delle prescrizioni di cui al punto E paragrafo 7 del medesimo provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia