Gli aspetti di sicurezza della piattaforma Rousseau sono stati "migliorati in modo significativo" ma "residuano alcune importanti vulnerabilità rispetto alle quali l'Autorità è tenuta ad intervenire". È uno dei passaggi chiave del 'provvedimento su data breach' adottato dall'Autorità garante per la protezione dei dati personali al termine di una lunga istruttoria. L'Associazione Rousseau, responsabile del trattamento, dovrà pagare una sanzione di 50 mila euro.
"La piattaforma Rousseau non gode delle proprietà richieste a un sistema di evoting, che prevedono la protezione delle schede elettroniche e l'anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico": essa "non appare in grado, tra l'altro, né' di prevenire gli eventuali abusi commessi da addetti interni, non essendo stati in essa previsti accorgimenti per partizionare il loro dominio d'azione né di consentire l'accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività".
È quanto scrive l'Autorità garante per la protezione dei dati personali nel 'provvedimento su data breach" varato oggi. Per il Garante, "le misure adottate, consistenti in procedure organizzative o comunque non basate su automatismi informatici, lasciando esposti i risultati delle votazioni (per un'ampia finestra temporale che si estende dall'istante di apertura delle urne fino alla successiva cosiddetta 'certificazione' dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni all'estrazione di copie anche offline), non garantiscono l'adeguata protezione dei dati personali relativi alle votazioni online".