Rousseau e l'hackeraggio dei dati personali: il Garante della privacy valuta sanzioni

Rousseau e l'hackeraggio dei dati personali: il Garante della privacy valuta sanzioni
di Stefania Piras
Martedì 2 Gennaio 2018, 19:05 - Ultimo agg. 19:33
4 Minuti di Lettura
Il garante della privacy ha pubblicato i provvedimenti presi dopo aver analizzato il caso degli hackeraggi estivi alla piattaforma M5S Rousseau. Come anticipato dal Messaggero, l'Autorità nel corso delle verifiche possibili dopo un esposto denuncia di attivisti preoccupati e grazie ai poteri stabiliti dall'art. 157 del Codice della privacy, ha prima richiesto di fornire informazioni e poi ha effettuato ispezioni a Milano (lo scorso 4 e 5 ottobre) chiedendo di esibire documenti per capire chi è il titolare e il responsabile del trattamento dati dei siti del M5S. Qui, Davide Casaleggio in qualità di presidente di Rousseau ha mostrato la copia di un contratto per servizi di housing e sicurezza gestita stipulato dall'Associazione Rousseau con Wind Tre S.p.a., e ha dichiarato che «le funzioni sistemistiche sono affidate da Wind Tre S.p.a. alla società ITNET s.r.l. che mette a disposizione dell'Associazione alcuni tecnici».
Il Garante nel provvedimento sottolinea che va esaminato con attenzione il ruolo di questi due soggetti, ovvero Wind Tre S.p.A. e ITNET s.r.l., ed evidenzia che andrebbero designati come veri responsabili del trattamento e che «la mancata designazione delle società Wind Tre S.p.A. e ITNET s.r.l. quali responsabili del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 Stelle, configura l'illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati». Da qui prende il via l'eventuale contestazione delle sanzioni amministrative.

Nel lungo provvedimento Il Garante Antonello Soro parla di «indiscutibile obsolescenza tecnica» dei siti M5S attaccati dagi hacker, di password registrate in chiaro su www.beppegrillo.it e ancora di password deboli inferiori agli otto caratteri.  E si riserva di valutare sanzioni amministrative nei confronti dell'Associazione Rousseau, responsabile del trattamento dati del sito del Movimento 5 Stelle e della piattaforma Rousseau. Gli articoli del codice della privacy a cui si fa riferimento sono il 161 e il 162: «La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro» e «In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta».

La vicenda è quella delle incursioni dei pirati informatici del 3 agosto scorso, un mese prima delle votazioni online del candidato premier. «La mancata designazione delle società Wind Tre S.p.a. e Itnet S.r.l. quali responsabili del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 Stelle -si legge nel provvedimento del 21 dicembre reso noto oggi- configura l'illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati». Pertanto, l'Authority «si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per l'eventuale contestazione delle sanzioni amministrative di cui all'art. 162, comma 2bis del Codice». Nel provvedimento il Garante indica una serie di misure per aumentare il livello di sicurezza del sistema operativo, per rendere più consapevoli gli utenti dei flussi di dati personali (sia rispetto alle varie componenti della cosiddetta "galassia 5 Stelle", sia rispetto alle società esterne che svolgono ruoli di supporto tecnico), per evitare il ripetersi di episodi del tipo di quelli verificatisi.

Altro aspetto messo sotto la lente degli ispettori dell'Autorità è la questione della tracciabilità dei voti elettronici espressi dagli utenti: «Con riferimento al database Rousseau, il documento trasmesso all'Autorità recante 'Estratto delle tabelle principali di Rousseaù, ha permesso di valutare alcuni aspetti relativi alla riservatezza delle operazioni di voto elettronico svolte tramite la piattaforma; in particolare, l'esame delle predette tabelle ha mostrato come l'espressione del voto da parte degli iscritti, in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica, venga registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti».

«Nello schema del database - si legge ancora nel provvedimento - risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente al rispettivo iscritto-votante.
Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti», spiega l'Authority. «La possibilità di tracciare a ritroso il voto espresso dagli interessati - prosegue il Garante - non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell'archivio elettronico».
© RIPRODUZIONE RISERVATA