Rousseau, la piattaforma che consente agli iscritti al Movimento Cinque Stelle di dare il loro contributo all'attività del partito, e gli altri siti della galassia pentastellata, incluso il blog di Beppe Grillo, non protegge in maniera adeguata i dati personali degli utenti, in virtù della loro comunicazione a soggetti terzi e della mancata indicazione della figura incaricata della tutela. Questo il risultato dell'istruttoria avviata dal Garante della Privacy in seguito agli attacchi hacker della scorsa estate. Conclusioni, si legge nel provvedimento pubblicato sul sito dell'Autorità, che potrebbero portare all'emissione di sanzioni. L'associazione Rousseau, da parte sua, fa sapere che "sono già state attivate le procedure per mettere in sicurezza il sistema Rousseau e la polizia postale ha condotto un'indagine sugli autori degli attacchi" e che "a tal riguardo le richieste e le raccomandazioni del garante per la privacy sono già state accolte".
Cosa c'è scritto nel provvedimento
Il Garante ha dichiarato "l'illiceità del trattamento dei dati personali degli utenti in ragione della comunicazione a soggetti terzi (Wind Tre S.p.A. e ITNET s.r.l.) dei dati medesimi in mancanza di idoneo presupposto" e ha intimato al titolare del trattamento dei dati del sito www.movimento5stelle.it e della piattaforma Rousseau "l'indicazione dei soggetti ai quali i dati sono comunicati", laddove al "titolare del trattamento del sito www.beppegrillo.it" è chiesta "l'adozione di una specifica modalità di acquisizione del consenso al trattamento dei dati per finalità di promozione commerciale e pubblicitaria; l'indicazione dei soggetti ai quali i dati sono comunicati; una più chiara enunciazione dei flussi di dati nei confronti delle altre entità del Movimento". Analoghe prescrizioni per il titolare del trattamento del sito www.blogdellestelle.it
Come si è svolta l'indagine
Dopo un esposto di alcuni preoccupati attivisti, l'Autorità - ricostruisce il Messaggero - "ha prima richiesto di fornire informazioni e poi ha effettuato ispezioni a Milano (lo scorso 4 e 5 ottobre) chiedendo di esibire documenti per capire chi è il titolare e il responsabile del trattamento dati dei siti del M5S. Qui, Davide Casaleggio in qualità di presidente di Rousseau ha mostrato la copia di un contratto per servizi di housing e sicurezza gestita stipulato dall'Associazione Rousseau con Wind Tre S.p.a., e ha dichiarato che «le funzioni sistemistiche sono affidate da Wind Tre S.p.a. alla società ITNET s.r.l. che mette a disposizione dell'Associazione alcuni tecnici». Il Garante sottolinea che va esaminato con attenzione il ruolo di questi due soggetti ed evidenzia che andrebbero designati come veri responsabili del trattamento e che "la mancata designazione configura l'illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati». Da qui prende il via l'eventuale contestazione delle sanzioni amministrative".
"Indiscutibile obsolescenza tecnica"
Nel provvedimento, il Garante Antonello Soro parla di "indiscutibile obsolescenza tecnica" dei siti violati, di password registrate in chiaro su www.beppegrillo.it e ancora di password deboli inferiori agli otto caratteri. E si riserva di valutare sanzioni amministrative che potrebbero aggirarsi tra i seimila e i centoventimila euro. Gli ispettori dell'autorità hanno poi puntato l'indice sulla tracciabilità dei voti elettronici espressi dagli utenti: "Con riferimento al database Rousseau, il documento trasmesso all'Autorità recante 'Estratto delle tabelle principali di Rousseau, ha permesso di valutare alcuni aspetti relativi alla riservatezza delle operazioni di voto elettronico svolte tramite la piattaforma; in particolare, l'esame delle predette tabelle ha mostrato come l'espressione del voto da parte degli iscritti, in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica, venga registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti".
"Nello schema del database", prosegue il provvedimento, "risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente al rispettivo iscritto-votante. Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti". "La possibilità di tracciare a ritroso il voto espresso dagli interessati", conclude l'autorità, "non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell'archivio elettronico".