PER L’AUTHORITY VOTO MANIPOLABILE
Multa da 50mila euro alla Associazione Rousseau di Davide Casaleggio. Il Garante della Privacy ha rilevato ‘importanti vulnerabilita” nella piattaforma di e-voting usata dal M5s. Rousseau dovra’ adempiere in un periodo di tempo che va tra 10 e 120 giorni alle richieste del Garante per garantire adeguate misure di trasparenze e sicurezza. ‘Rilievi gia’ recepiti’, dice Enrica Sabatini, braccio destro di Casaleggio e socia di Rousseau. Intanto il Pd presenta un’interrogazione al governo affinche’ dia ‘garanzie’ sulle decisioni prese con la piattaforma. E’ emerso anche che, nel giorno delle Europarlamentarie M5s, Casaleggio e’ andato in Procura e ha sporto denuncia contro alcuni profili clone tra gli iscritti a Rousseau.
Il Garante della privacy nel provvedimento emesso nei confronti dell’associazione Rousseau sollecita interventi immediati per garantire la protezione dei dati e la sicurezza dei voti on line sottolineando “l’urgenza di assicurare l’integrità, resilienza e sicurezza di una piattaforma, quale quella in esame, utilizzata per l’esercizio dei diritti politici dei cittadini”. Il Garante ricorda di aver emesso un provvedimento il 21 dicembre 2017 in cui a seguito di “violazione dei sistemi informatici riferiti alla Piattaforma Rousseau e ad altri siti connessi al Movimento 5 Stelle”, ha prescritto “l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti dei predetti siti web conformi ai princìpi della disciplina in materia di protezione dei dati personali”. Da allora il Garante ha avviato una istruttoria per verificare i progressi compiuti dall’Associazione e oggi segnala che “residuano alcune importanti vulnerabilità rispetto alle quali l’Autorità (valutata anche l’urgenza di intervenire su una struttura, come la piattaforma Rousseau, di particolare rilevanza e delicatezza anche sotto il profilo della partecipazione democratica dei cittadini alle scelte politiche)”. Il Garante quindi elenca quattro punti su cui da un termine perentorio per adottare misure a tutela dei dati e “ingiunge all’Associazione Movimento 5 Stelle e all’Associazione Rousseau quale responsabile del trattamento, di provvedere a completare l’adozione delle misure necessarie di auditing informatico…prevedendo che anche gli accessi al database effettuati tramite interfaccia XX siano oggetto di completa registrazione in modo da consentire la verifica a posteriori delle attività compiute, entro il termine di 60 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa; “a rimuovere la criticità emersa a seguito dell’accertamento ispettivo del novembre 2018, ovvero provvedere ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi definendo per ciascuno i differenti profili di autorizzazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa”; “Entro il termine di 120 giorni dalla ricezione del presente provvedimento, ai fini del rispetto del principio di responsabilizzazione di cui all’articolo 24 del Regolamento, ad una rivisitazione complessiva delle iniziative di sicurezza adottate, alcune delle quali, per quanto conformi, in termini di stretto adempimento, alle prescrizioni, risultano comunque inficiate nella loro efficacia dalle gravi limitazioni tecniche intrinseche al sistema utilizzato. L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa”; “All’effettuazione, entro il termine di 60 giorni dalla ricezione del presente provvedimento, di una valutazione d’impatto sulla protezione dei dati, specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma. Solo in base ad una rigorosa progettazione e a una attenta valutazione dei rischi – sottolinea il Garante – è, infatti, possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’autenticità e la riservatezza delle espressioni di voto. Le conclusioni della valutazione d’impatto dovranno pervenire a questa Autorità entro 70 giorni dalla ricezione del presente provvedimento. L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa…”.
