Garante Privacy, multa a Rousseau di 50mila euro

Arriva la multa di 50mila euro all’Associazione Rousseau dal Garante per la Privacy, secondo cui sulla piattaforma permangono “alcune importanti vulnerabilità rispetto alle quali l’Autorità è tenuta ad intervenire”. Lo si legge nel “Provvedimento su data breach” del Garante: anche se alcuni aspetti della sicurezza sono migliorati in maniera significativa, è intervenuto valutando l’urgenza di agire su una struttura “di particolare rilevanza e delicatezza anche sotto il profilo della partecipazione democratica dei cittadini alle scelte politiche”.

In sostanza si dice che Rousseau non gode delle proprietà richieste a un sistema di e-voting, cioè non è in grado di garantire la sicurezza e la segretezza del voto degli iscritti al MoVimento 5 Stelle. Il risultato potenzialmente può essere manipolato, senza lasciare alcuna traccia, dagli amministratori del sistema, questo in tutte le fasi del procedimento elettorale. La multa arriva al termine di un’istruttoria durata due anni, che condanna quindi l’Associazione presieduta da Davide Casaleggio a pagare, ma anche a correggere diversi problemi della piattaforma.

Tra questi ci sono le vulnerabilità della piattaforma che vanno scongiurate, consentire di verificare a a posteriori delle attività compiute, ma anche rimuovere la condivisione dei dati di accesso. L’Associazione Rousseau dovrà quindi adottare misure di auditing informatico per assegnare credenziali di autenticazione ad uso esclusivo di ogni utente con privilegi amministrativi, entro 10 giorni. Entro 60 giorni invece è chiamata a completare una valutazione di impatto sulla protezione dei dati riguardo l’e-voting. Oltre a questo entro 120 giorni dovrà effettuare il completamento di una rivisitazione di tutte le iniziative di sicurezza.

L’Associazione Rousseau aveva già adottato degli accorgimenti per garantire la segretezza del voto, come ad esempio la cancellazione e trasformazione in forma anonima dei dati personali trattati quando le operazioni di voto erano terminate, ma per il Garante non è abbastanza. È stato constatato infatti l’esistenza di una tabella esterna a Rousseau, ma presente nei data center di Wind di Siziano, che contiene “un ID utente che permette indirettamente di risalire al soggetto votante”, si legge.

Durissima la risposta di Enrica Sabatini, braccio destro di Casaleggio, sul Blog delle Stelle:

Il garante italiano della privacy è Antonello Soro, un politico italiano del Partito Democratico. È stato il primo presidente del gruppo del Pd alla Camera nel 2007, ed è stato capogruppo del Pd, sempre alla Camera, fino al 2009. […] Temiamo che ci sia un uso politico del garante della privacy e che possa risentire della sua pregressa appartenenza al Pd. […]  Il garante della privacy dovrebbe tutelare tutti, non solo le persone del suo partito. Può il garante della privacy essere un esponente politico di un partito? Noi riteniamo di no e non ci sentiamo tutelati in alcuna maniera.

Nel frattempo Davide Casaleggio è andato in Procura per denunciare per conto dell’Associazione, la creazione di profili  “clone” tra gli iscritti alla piattaforma Rousseau.