Criticità e violazioni dei parametri di sicurezza della piattaforma Rousseau per la sicurezza e il rischio dei diritti e delle libertà delle persone. Le motivazioni del provvedimento del Garante
di Roberto Paternicò - Con Provvedimento su data breach - Registro dei provvedimenti n. 83 del 4 aprile 2019, il Garante per la protezione dei dati personali ha evidenziato criticità della piattaforma Rousseau che costituiscono una violazione dell'art. 32 del Regolamento (UE) 2016/679 circa alcuni parametri di sicurezza che il titolare e il responsabile del trattamento sono tenuti ad adottare al fine di garantire un livello di sicurezza adeguato in rapporto al rischio per i diritti e le libertà delle persone.

Multa a Rousseau dal Garante privacy: le motivazioni

Queste le motivazioni dell'authority:


- il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare del trattamento e, in particolare, dell'obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché delle funzionalità che le caratterizzano (tra cui, in particolare, il sistema di e-voting che deve essere necessariamente assistito da idonei accorgimenti a tutela dei dati personali dei votanti). Ciò a maggior ragione tenendo conto che tali banche dati sono particolarmente esposte al rischio di attività di hakeraggio o comunque ad attacchi informatici;


- l'accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l'accesso ai soli dati necessari nei diversi ambiti di operatività, nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza.

Deve, infatti, rilevarsi come, per un verso, il trattamento in questione concerna anche dati particolari di cui all'art. 9 del Regolamento (parametro rilevante ai sensi dell'art. 83, paragrafo 1, lettera g) e che la violazione si sia protratta per un tempo significativo, interessando un rilevante numero di soggetti, evidenziando altresì il ricorso a misure tecniche e organizzative carenti, nonché a dispositivi e sistemi obsoleti.


Va infine considerata la natura, di associazione finalizzata all'esercizio di diritti politici dei cittadini, del trasgressore nonché il disposto di cui all'art. 22, comma 13, del decreto legislativo 10 agosto 2018, n. 101, in ordine all'irrogazione delle misure sanzionatorie nei primi otto mesi dell'applicazione della nuova disciplina.

Il provvedimento

Accertato il non ancora completo adempimento del provvedimento del 21 dicembre 2017 e verificate le carenze relative ai profili di sicurezza di cui in motivazione:

1. ingiunge, ai sensi dell'art. 58, comma 2, lett. d) del Regolamento, all'Associazione Movimento 5 Stelle e all'Associazione Rousseau quale responsabile del trattamento, di provvedere nei modi e nei termini di cui al par. 4.1, punti 1, 2, 3 e 4;

2. ai sensi dell'art. 58, paragrafo 2, lettera i) del Regolamento, ingiunge all'Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento, entro 180 giorni dalla data di ricezione del presente provvedimento, di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento.

Ai sensi dell'art. 78 del Regolamento(UE) 2016/679, nonché dell'art. 152, comma 1-bis del Codice, fermo quanto disposto dall'art. 166, comma 8, del medesimo Codice, avverso il presente provvedimento può essere proposta opposizione all'Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Assibot

Foto: rousseau.movimento5stelle.it
Altri articoli che potrebbero interessarti:
In evidenza oggi: