La multa di 32mila euro del Garante della Privacy a Rousseau

di neXtQuotidiano

Pubblicato il 2018-03-15

Gianluca Nuzzi su La Verità racconta oggi come è finita (provvisoriamente) la vicenda del blog di Beppe Grillo e del garante della privacy, che era scoppiata dopo le incursioni di hacker etici e non nelle piattaforme dell’azienda milanese: è arrivata una sanzione amministrativa pari a 32mila euro alla fondazione Rousseau. Il garante ha punito con una …

article-post

Gianluca Nuzzi su La Verità racconta oggi come è finita (provvisoriamente) la vicenda del blog di Beppe Grillo e del garante della privacy, che era scoppiata dopo le incursioni di hacker etici e non nelle piattaforme dell’azienda milanese: è arrivata una sanzione amministrativa pari a 32mila euro alla fondazione Rousseau. Il garante ha punito con una multa notificata martedì scorso dai militari della guardia di finanza a Davide Casaleggio, presidente della Fondazione Rousseau.

La sanzione amministrativa nasce dall’istruttoria aperta nell’agosto scorso, quando il blog del M5s aveva subito alcuni attacchi hacker. L’associazione aveva presentato denuncia alla polizia postale e il Garante aveva colto l’occasione per disporre accertamenti sul trattamento dei dati delle persone che accedono al blog.

Il 21 dicembre, dunque, ecco il primo provvedimento che segnalava come “la mancata designazione delle società Wind Tre Spa e Itnet Srl quali responsabili del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 stelle configura l’illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati”.

rogue0 voto rousseau 2

Adesso i legali dell’associazione Rousseau valuteranno se impugnare il provvedimento e fare ricorso. Visto anche che da un rapido monitoraggio sulle varie norme della privacy alle quali esprimere il proprio consenso per iscriversi ai blog non risulta quasi mai indicato il gestore dei servizi di housing. Un approfondimento che potrebbe servire da base dell’impugnazione dei difensori di Rousseau. Su questo aspetto della protezione dei dati personali, infatti, non sempre le norme sono precise, la giurisprudenza univoca e, tantomeno, la prassi consolidata. (da: Il Fatto)

Il Garante per la privacy lo scorso 21 dicembre ha emesso un provvedimento con annesse prescrizioni a Beppe Grillo e alla Casaleggio associati: i sistemi di sicurezza dei siti di riferimento del M5S — viene spiegato — sono vulnerabili e quindi i dati personali degli attivisti sono a rischio. E la gestione dei portali non garantisce la segretezza del voto online. Questo in seguito a due attacchi hacker effettuati, secondo l’accusa della Casaleggio, da “sicari informatici”.

rousseau casaleggio garante privacy

Da lì – e dagli esposti di alcuni attivisti – nasce l’istruttoria del Garante Antonello Soro, che con riferimento al database Rousseau, svela: «L’esame delle predette tabelle ha mostrato come l’espressione del voto da parte degli iscritti, in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica, venga registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti». A ciascun voto espresso è associato il numero telefonico dell’iscritto al Movimento. Casaleggio il 5 ottobre 2017 ha sostenuto che si tratta di  «Una questione di sicurezza». Ma più che le multe qui è in discussione il modo in cui è stato gestito il sito di Beppe Grillo in questi anni e la sua sicurezza:

a) il portale web del Movimento 5 Stelle e parte della piattaforma Rousseau sono stati realizzati avvalendosi di un prodotto software, il CMS Movable Type che, nella versione Enterprise 4.31-en, è risultata affetta da indiscutibile obsolescenza tecnica (il produttore individuava nel 31 dicembre 2013 la data di “fine vita” delle versioni 4.3x). Il blog www.beppegrillo.it utilizza invece una versione del CMS Movable Type ancora più risalente (versione 3.35), con la quale la registrazione delle password avveniva in chiaro.

Le obsolescenze dei CMS (sistemi di gestione dei contenuti), oltre a esporre i dati personali trattati a rischi di accesso abusivo (rischi derivanti dalle vulnerabilità informatiche già note e segnalate dallo stesso produttore), ha condizionato l’efficacia di alcuni accorgimenti tecnici adottati successivamente dall’Associazione a seguito delle intrusioni informatiche; ad esempio il portale non realizzava policy efficaci sulla qualità delle password, ammettendo l’uso di password banali, facilmente esposte alla decifrazione e ad attacchi di tipo brute force anche in modalità interattiva online;

rogue0 voto rousseau 2

b) i vulnerability assessment commissionati dall’Associazione Rousseau hanno evidenziato una serie di criticità cui sarebbe stato possibile porre rimedio avvalendosi di una metodologia di sviluppo del software maggiormente strutturata, che avesse contemperato la tempestività realizzativa delle nuove funzionalità con una attenta valutazione e prevenzione dei rischi informatici.

In proposito si osserva che il nuovo Regolamento generale riconosce come la protezione dei dati personali debba essere perseguita individuando misure a protezione dei dati sin dalla fase di progettazione dei sistemi informativi con cui si realizzano i trattamenti (c.d. approccio basato sulla “Data protection by design” – cfr. art. 25 Regolamento UE 2016/679 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”);

Leggi sull’argomento: Il garante della privacy: Rousseau sa come votano gli iscritti M5S

Potrebbe interessarti anche