Home>News>Hot topics, Oblio, Security & Cybercrime>E-democracy M5S: il Garante prescrive misure e “promette” sanzioni per piattaforma Rousseau e siti pentastellati

E-democracy M5S: il Garante prescrive misure e “promette” sanzioni per piattaforma Rousseau e siti pentastellati

Pubblicato dal Garante il Provvedimento del 21 dicembre scorso contenente le conclusioni dell’istruttoria avviata a seguito del grave data breach che l’agosto scorso ha colpito Rousseau, il sistema di e-voting del Movimento 5 Stelle (turbato da eventi nefasti anche durante la sessione elettorale di settembre).

Il Garante ha individuato diverse carenze e vulnerabilità in tema di sicurezza dei dati ed ha evidenziato come siano emerse deficienze sugli adempimenti di legge con particolare riguardo all’informativa da rendere agli interessati e alla corretta strutturazione di privacy dei rapporti tra i diversi soggetti che supportano il Movimento nella gestione della piattaforma.

Riguardo quest’ultimo aspetto, Autorità ha dichiarato illecita la comunicazione dei dati ai fornitori tecnici di Rousseau in assenza di consenso specifico degli interessati (condizione necessaria, non essendosi i Titolari avvalsi della possibilità di nominare gli outsourcer Wind Tre e ITNET quali Responsabili esterni del trattamento).

Prescritta, quale misura necessaria per il sito del movimento, l’indicazione in informativa dei soggetti ai quali i dati sono comunicati nonché l’acquisizione del consenso anche per i trattamenti svolti per finalità commerciali o di marketing. Agli utenti di Rousseau si dovrà sottoporre una informativa separata relativa alle specifiche funzionalità della piattaforma.

Il Garante raccomanda una maggiore attenzione al diritto all’oblio. Il sistema di e-voting dovrà prevedere la cancellazione o la trasformazione in forma anonima dei dati personali degli elettori una volta terminate le operazioni di voto. In tal senso, andrà modificato database laddove prevede l’utilizzo del numero telefonico dell’iscritto in connessione ai voti elettronici espressi.

Gli accessi tecnici a Rousseau dovranno essere tracciati e auditabili in ossequio alle regole stabilite in materia di Amministratore di Sistema.

Nei confronti di tutti i titolari del trattamento (Beppe Grillo per www.movimento5stelle.it, rousseau.movimento5stelle.it, www.beppegrillo.it e Associazione Rousseau per www.ilblogdellestelle.it) è, inoltre, prescritta:

  • l’adozione del protocollo sicuro https basato su un certificato digitale emesso da una Certification Authority riconosciuta;
  • l’adozione di tecniche crittografiche efficaci per la conservazione delle password;
  • l’avvio di un’opera di correzione delle vulnerabilità segnalate nei report dei vulnerability assessment;
  • l’avvio di un’operazione di validazione delle utenze volta a eliminare quelle non più utilizzate da lungo tempo e, pertanto, ragionevolmente, abbandonate.

Il Garante valuterà in separata sede eventuali sanzioni amministrative da irrogare per violazione delle norme relative al consenso e ai contenuti dell’informativa (contestazioni ex artt. 161 e 162-bis del Codice Privacy).

2018-01-03T12:28:30+00:00 2 gennaio 2018|Hot topics, Oblio, Security & Cybercrime|