Il 21 dicembre 2017 il Garante per la privacy ha emesso un provvedimento indirizzato ai gestori del sito del M5S, di Beppe Grillo e dell’associazione Rousseau dopo gli episodi di violazione dei dati personali dei cittadini, avvenuti a partire da agosto da parte di hacker. Il Garante prescrive nei confronti dei titolari dei siti web riferibili al Movimento 5 Stelle «le misure necessarie relative ai profili concernenti la sicurezza informatica» oltre a una serie di altre misure, tra le quali «la previsione di una informativa specifica relativa alle funzionalità della piattaforma Rousseau». Al titolare del blog di Beppe Grillo il Garante prescrive «quale misura necessaria, l’adozione di una specifica modalità di acquisizione del consenso al trattamento dei dati per finalità di promozione commerciale e pubblicitaria».
Non solo, il Garante dichiara, «nei confronti dei titolari del trattamento di tutti i siti riconducibili al Movimento 5 Stelle, l’illiceità del trattamento dei dati personali degli utenti in ragione della comunicazione a soggetti terzi (Wind Tre S.p.A. e ITNET s.r.l.) dei dati medesimi in mancanza di idoneo presupposto». Il Garante inoltre si riserva di verificare «la sussistenza dei presupposti per l’eventuale contestazione delle sanzioni amministrative».
«Nello schema del database risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente (come del resto confermato dal dottor Casaleggio in sede ispettiva, cfr. verbale 5 ottobre 2017) al rispettivo iscritto-votante. Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti», spiega l’Authority. «La possibilità di tracciare a ritroso il voto espresso dagli interessati - prosegue il Garante - non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell’archivio elettronico».
Il Garante evidenzia come «le misure di sicurezza connesse al controllo delle operazioni di voto destino alcune perplessità» e suggerisce una riconfigurazione del sistema di voto online, «in modo da minimizzare i rischi per i diritti e per le libertà delle persone fisiche», attraverso «la cancellazione o la trasformazione in forma anonima dei dati personali trattati (laddove per specifiche esigenze fossero presenti), una volta terminate le operazioni di voto».
I commenti dei lettori