ricerca avanzata
ricerca anche su

  • Privacy -Tecnologie dell'informazione e della comunicazione (ICT)

5 aprile 2019

Il Garante per la privacy condanna l'Associazione Rousseau a pagare una multa di 50.0000 euro e replica alle dichiarazioni di parzialità rese da esponenti del Movimento 5 stelle

Con il provvedimento del 4 aprile 2019, il Garante per la protezione dei dati personali, accertato il non ancora completo adempimento del provvedimento del 21 dicembre 2017 e verificate le carenze relative ai profili di sicurezza dei sistemi informatici riferiti alla Piattaforma Rousseau e ad altri siti connessi al Movimento 5 Stelle, ha ingiunto all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di una sanzione di euro 50.000.

La vicenda relativa alla piattaforma Rousseau risale al 2017, quando in seguito alla violazione dei sistemi informatici riferiti ai diversi siti web connessi al Movimento 5 Stelle (www.movimento5stelle.it, www.rousseau.movimento5stelle.it, www.beppegrillo.it), il Garante con il provvedimento n. 548 del 21 dicembre 2017, concludeva l'istruttoria prescrivendo, nei confronti dei relativi titolari del trattamento, l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti dei predetti siti web conformi ai princìpi della disciplina in materia di protezione dei dati personali.

Oltre alla prescrizione di misure e accorgimenti necessari, il provvedimento n. 548 aveva evidenziato una serie di misure e di accorgimenti opportuni volti a minimizzare, in particolare, i rischi per i diritti e le libertà degli utenti del sistema di e-voting, suggerendo, a tal titolo, la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto, nonché il disaccoppiamento del numero telefonico del votante (dato personale particolarmente identificativo) dal voto espresso, allo scopo di rendere i dati relativi alle votazioni meno direttamente riconducibili ai votanti o, addirittura, del tutto anonimi.

A seguito dell’accertamento ispettivo, l’Autorità ha analizzato lo stato di adempimento delle prescrizioni impartite, con specifico riguardo agli aspetti tecnologici e di sicurezza informatica, esaminando le diverse misure adottate in relazione a ciascuna prescrizione, tenuto conto degli elementi informativi forniti dal titolare e dai responsabili del trattamento e, pur ritenendo che nel complesso sia stato realizzato un sostanziale innalzamento dei livelli di sicurezza dei trattamenti effettuati nell’ambito dei siti web, ha tuttavia, formulato alcune considerazioni relativamente alle prescrizioni di cui al citato provvedimento.

In particolare, il Garante ha osservato che, con riferimento:

  • all'Attività di vulnerability assessment, persistono criticità derivanti dall’obsolescenza di alcune componenti software dei siti web del Movimento. La piattaforma Cms è ancora Movable Type 4 mentre la versione corrente è Movable Type 7 (release 7.1.1. del 29 gennaio 2019). Ciò rende particolarmente gravoso il compito di mantenere aggiornato e sicuro il Cms a supporto dei siti web del Movimento, poiché lo stesso produttore ha cessato la distribuzione di aggiornamenti e di patch di sicurezza al raggiungimento della End of Life del prodotto, verificatasi il 31 dicembre 2013. Tuttto ciò  rende estremamente difficoltoso il patching dei sistemi online realizzati sulla piattaforma Cms, l’adozione di accorgimenti ad hoc e l’intervento, realisticamente non tempestivo, di sviluppatori in grado di apportare le correzioni necessarie a fronte di future vulnerabilità la cui scoperta non può essere esclusa, come per ogni sistema software complesso, ma che in questo caso potrebbe avere un impatto particolarmente gravoso stante l’assenza di supporto ufficiale da parte del produttore;
     
  • al Database delle utenze della piattaforma Rousseau, benché l’Autorità non disponga di elementi per verificare che la conservazione delle password degli utenti della piattaforma Rousseau sia stata resa effettivamente più robusta in termini crittografici, alcuni accorgimenti tecnici adottati dal titolare del trattamento e documentati (quali l’introduzione di salt individuali che consentono di rendere più complesso l’hash generato rispetto a quanto fosse in precedenza) fanno ritenere che la prescrizione possa ritenersi sostanzialmente adempiuta;
     
  • alle Misure di auditing informatico, risulta che gli accessi da terminale remoto sono oggetto di registrazione che permette a posteriori la verifica puntuale delle attività compiute (login, logout, comandi impartiti), mentre per quanto riguarda l’interfaccia XX, questa non consente di tracciare adeguatamente gli accessi al database né, tantomeno, di tracciare le operazioni compiute sul database in lettura o in modifica. Per questo motivo, mentre la prescrizione può considerarsi soddisfatta nei casi di accesso tramite emulatore di terminale con protocollo ssh, la stessa risulta disattesa laddove gli accessi siano effettuati avvalendosi dell’interfaccia XX, riservata al solo personale dell’Associazione Rousseau con qualifica di amministratore di sistema (un numero estremamente esiguo di persone) previo utilizzo di una connessione Vpn (Virtual Private Network). Secondo il Garante,
    "Risulta quindi che un ristretto novero di addetti con particolari capacità d’azione tecnica, nell’ambito dei sistemi informativi del Movimento 5 Stelle e dell’Associazione Rousseau, abbia la possibilità di accedere a delicate funzionalità delle piattaforme software con cui vengono erogati i servizi senza che il loro operato possa essere soggetto a verifiche, a iniziare da quelle che lo stesso titolare del trattamento sarebbe tenuto a compiere nei confronti delle figure più critiche rispetto alla sicurezza informatica dei trattamenti. L’assenza di capacità di auditing o, meglio, la presenza di modalità di accesso e interazione con i sistemi che, non comportando la generazione di auditable events funzionali all’auditing informatico, eludono le verifiche successive, costituisce una grave carenza che espone un sistema così delicato a potenziali rischi di violazione dei dati personali" ;
     
  • alla riservatezza delle operazioni di voto elettronico, non può ritenersi che la mera rimozione del numero telefonico, a fronte della presenza di un altro identificativo univoco dell’iscritto, possa essere considerata quale misura coerente con gli obiettivi di protezione dei dati personali che si intendevano promuovere. Le misure adottate, consistenti in procedure organizzative o comunque non basate su automatismi informatici, lasciando esposti  i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva c.d. “certificazione” dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline), non garantiscono l’adeguata protezione dei dati personali relativi alle votazioni online;
     
  • alla condivisione delle credenziali di autenticazione, le modalità di assegnazione delle credenziali e dei privilegi relativi alle varie funzionalità dei siti dell’Associazione risultano inadeguate sotto il profilo della sicurezza, poiché la condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di figure tecniche così rilevanti.

Le criticità di cui sopra costituiscono una violazione dell’art. 32 del Regolamento (UE) 2016/679 che individua alcuni parametri di sicurezza che il titolare e il responsabile del trattamento sono tenuti ad adottare  al fine di garantire un livello di sicurezza adeguato in rapporto al rischio per i diritti e le libertà delle persone.

In particolare, come si legge nel provvedimento,

"1) il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute (di cui alla specifica misura necessaria, tecnica e organizzativa, prescritta dall’Autorità con il provvedimento del 21 dicembre 2017 e oggetto di due proroghe) configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché  delle funzionalità che le caratterizzano (tra cui, in particolare, il sistema di e-voting che deve essere necessariamente assistito da idonei accorgimenti a tutela dei dati personali dei votanti). Ciò a maggior ragione tenendo conto che tali banche dati sono particolarmente esposte al rischio di attività di hakeraggio o comunque ad attacchi informatici, quali quelli verificatisi più volte, anche successivamente al data breach di agosto 2017;

2) l’accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività, nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza (cfr. regole nn. 2, 3 e 13 del disciplinare tecnico di cui all’allegato B del Codice) che i titolari del trattamento erano tenuti ad adottare al fine di assicurare un livello minimo di protezione dei dati personali. E’ pertanto evidente  come la mancata adozione di tali misure e, per converso, l’avvenuta condivisione delle credenziali di autenticazione tra più soggetti legittimati alla gestione della piattaforma rappresentino una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate."

Pertanto l’Autorità ha ingiunto all’Associazione Movimento 5 Stelle e all’Associazione Rousseau quale responsabile del trattamento, di provvedere:

  • a completare l’adozione delle misure necessarie di auditing informatico prevedendo che anche gli accessi al database effettuati tramite interfaccia XX siano oggetto di completa registrazione in modo da consentire la verifica a posteriori delle attività compiute, entro il termine di 60 giorni dalla ricezione del presente provvedimento; 
  • ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi definendo per ciascuno i differenti profili di autorizzazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento; 
  • ad una rivisitazione complessiva delle iniziative di sicurezza adottate, ai fini del rispetto del principio di responsabilizzazione di cui all’articolo 24 del Regolamento, alcune delle quali, risultano comunque inficiate nella loro efficacia dalle gravi limitazioni tecniche intrinseche al sistema utilizzato (CMS - Movable Type 4), entro il termine di 120 giorni dalla ricezione del presente provvedimento;
  • all’effettuazione, entro il termine di 60 giorni dalla ricezione del presente provvedimento, di una valutazione d’impatto sulla protezione dei dati, specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma.

Per le violazioni sopra indicate, il Garante ha infine, disposto l'applicazione all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, di una sanzione di euro 50.000, da pagare entro 180 giorni dalla data di ricezione del presente provvedimento.

Da ultimo, il Garante con il Comunicato Stampa appena rilasciato, ha replicato alle dichiarazioni rese da esponenti del Movimento 5 stelle dichiarando di non aver operato nessuna parzialità ed a tal riguardo ha così precisato:

"- le dichiarazioni dell’Associazione Rousseau in ordine a misure asseritamente migliorative che sarebbero state adottate sono giunte, via mail, ad istruttoria già chiusa, il giorno precedente l’adozione definitiva del provvedimento e senza alcuna documentazione a sostegno. Tali misure risultano comunque ininfluenti ai fini delle pregresse criticità evidenziate e sanzionate nel provvedimento;

- la durata del procedimento è stata condizionata anche dalle due proroghe richieste dalla stessa Associazione Rousseau;

- le accuse di parzialità rivolte, reiteratamente, all’Autorità in ragione della pregressa esperienza politico-istituzionale del suo Presidente, sono smentite  dall’adozione di  plurimi provvedimenti, anche sanzionatori, nei confronti di altre forze politiche o di loro esponenti,  rinvenibili sul sito dell’Autorità al pari di quello relativo alla piattaforma Rousseau;

- le decisioni del Garante sono collegiali e come tali non riferibili individualmente ai componenti del Collegio."

 

×
©2024 - Sprint Soluzioni Editoriali s.r.l. - P.I. 15078421003 - Riproduzione Riservata

I testi presenti in questa banca dati hanno finalità unicamente informative e scientifiche e non rivestono carattere di ufficialità; si declina, pertanto, ogni responsabilità per eventuali errori o inesattezze. Tutti i marchi riportati appartengono ai legittimi proprietari; marchi di terzi, nomi di prodotti, nomi commerciali e immagini di prodotti sono di proprietà dei rispettivi titolari. Sono utilizzati nella seguente banca dati a puro scopo divulgativo e informativo, senza alcun fine di violazione dei diritti vigenti.

informativa privacy - informativa cookie