Il Garante della Privacy, dopo aver accertato il mancato completamento degli adempimenti prescritti con il provvedimento n. 548 del 21 dicembre 2017 e verificate le carenze relative ai profili di sicurezza, con provvedimento del 4 aprile 2019 n.83 ha sanzionato l’Associazione Rousseau per l’ammontare di 50.000 euro, da pagare entro 180 giorni dalla data di ricezione dello stesso.
A seguito del procedimento emanato nel 2017, e relativo alla violazione dei sistemi informatici della Piattaforma Rousseau e di altri siti connessi al Movimento 5 Stelle, l’Autorità aveva prescritto ai relativi titolari “l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti dei predetti siti web conformi ai princìpi della disciplina in materia di protezione dei dati personali”.
Dopo la scadenza del termine per adempiere a quanto prescritto, fissata al 15 ottobre 2018, il Garante ha ritenuto, “pur avendo constatato che le attività poste in essere abbiano migliorato in modo significativo gli aspetti di sicurezza della piattaforma Rousseau”, che “residuano alcune importanti vulnerabilità”.
Le sopracitate vulnerabilità rappresentano secondo l’Autorità una violazione dell’art. 32 del GDPR, “che individua alcuni parametri di sicurezza che il titolare e il responsabile del trattamento sono tenuti ad adottare al fine di garantire un livello di sicurezza adeguato in rapporto al rischio per i diritti e le libertà delle persone”.
Il Garante ha inoltre provveduto ad identificarle ad elencarle, riscontrando le seguenti violazioni:
- “il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute” rappresentante “il generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima” in considerazione “sia delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché delle funzionalità che le caratterizzano (tra cui, in particolare, il sistema di e-voting che deve essere necessariamente assistito da idonei accorgimenti a tutela dei dati personali dei votanti)”, tenendo inoltre conto dei molteplici attacchi hacker da queste subiti..
- “l’accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau” oltre a “la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività”, rilevando così una chiara “violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate”.