Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA SANZIONE

Il Garante Privacy multa Rousseau: “Voto manipolabile”

Secondo l’Authority la piattaforma non garantisce la segretezza e la sicurezza delle scelte degli iscritti. Multa da 50mila euro. Ecco il provvedimento

04 Apr 2019

F. Me

Cinquantamila euro di multa per non aver assicurato “adeguate garanzie di riservatezza agli iscritti” e per “l’accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma“. Sono questi i motivi che hanno spinto il Garante per la Privacy a multare la piattaforma Rousseau.

Una serie di mancanze, osserva il Garante, che lasciano “esposti i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva c.d. “certificazione” dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline), non garantiscano l’adeguata protezione dei dati personali relativi alle votazioni online”.

Anche se, dopo una precedente istruttoria, l’Associazione Rousseau ha adottato alcuni accorgimenti mirati a garantire la libertà e la segretezza del voto – come la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto, nonché il disaccoppiamento del numero telefonico del votante dal voto espresso – il Garante ritiene che gli interventi non siano ancora sufficienti. Anzi – scrive – “sono state evidenziate persistenti criticità” spiega.

Inoltre l’esistenza di una tabella esterna alla piattaforma contenente tutte le informazioni relative alle operazioni di voto, al numero di telefono e all’Id dei votanti, insieme all’espressione di ciascun voto, ha portato il Garante a ritenere che “la mera rimozione del numero telefonico, a fronte della presenza di un altro identificativo univoco dell’iscritto” – come Casaleggio rivendica di aver fatto – “non possa essere considerata quale misura coerente con gli obiettivi di protezione dei dati personali che si intendevano promuovere”.

Secondo l’Autorità la protezione dei dati personali è messa a rischio anche dal fatto di lasciare “esposti i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva “certificazione” dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline)”. Questo perché gli amministratori di sistema sono cinque per il sito www.movimento5stelle.it e altre cinque per il sito rousseau.movimento5stelle.it, alcune delle quali uguali per l’uno e l’altro sito.

Ma non è possibile identificarle. Perciò “la modalità di assegnazione delle credenziali e dei privilegi relativi alle varie funzionalità dei siti dell’Associazione (…) risultano inadeguate sotto il profilo della sicurezza – avverte il Garante – poiché la condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di figure tecniche così rilevanti”.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Approfondimenti

G
garante privacy
R
rousseau

Articolo 1 di 5