In data 4 aprile 2019, con provvedimento n. 83, l’Autorità Garante per la protezione dei dati comminava all’Associazione Rousseau (responsabile del trattamento, trasgressore, di siti ricollegabili al Movimento 5 Stelle) una sanzione pari ad euro 50.000,00 per la violazione del combinato disposto degli artt. 32 e 83 paragrafo IV lettera a) del GDPR.

La nota piattaforma pentastellata già da diversi mesi era sotto la lente d’ingrandimento del Garante della Privacy a seguito delle numerose criticità mostrate (come ad esempio le segnalazioni successive al data breach del 2017 e il conseguente provvedimento n. 548 del 2017); l’Autorità aveva a più riprese richiesto migliorie delle condizioni di sicurezza per il trattamento dei dati.

Occorre, a tal proposito, ricordare gli articoli di cui sopra:

“Articolo 32 (Sicurezza del trattamento):

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Articolo 83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie), paragrafo IV, lettera a):

[…] 4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; […]”.

Il Garante, nonostante la documentazione integrativa fornita dall’Associazione a seguito dei primi controlli ispettivi, rilevava importanti vulnerabilità della piattaforma; pur riscontrando un miglioramento dei livelli di sicurezza rispetto alle prime ispezioni, lo stesso non poteva considerarsi soddisfacente in virtù dei dati di particolare rilevanza trattati: le “opinioni politiche” (rientranti ex art. 9 del GDPR nella categoria dei dati personali c.d. sensibili).

Il Garante, come esplicitato nel suo provvedimento, accertava:

“1) il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute (di cui alla specifica misura necessaria, tecnica e organizzativa, prescritta dall’Autorità con il provvedimento del 21 dicembre 2017 e oggetto di due proroghe) configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché  delle funzionalità che le caratterizzano (tra cui, in particolare, il sistema di e-voting che deve essere necessariamente assistito da idonei accorgimenti a tutela dei dati personali dei votanti). Ciò a maggior ragione tenendo conto che tali banche dati sono particolarmente esposte al rischio di attività di hakeraggio o comunque ad attacchi informatici, quali quelli verificatisi più volte, anche successivamente al data breach di agosto 2017; 

2) l’accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività, nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza (cfr. regole nn. 2, 3 e 13 del disciplinare tecnico di cui all’allegato B del Codice) che i titolari del trattamento erano tenuti ad adottare al fine di assicurare un livello minimo di protezione dei dati personali. E’ pertanto evidente come la mancata adozione di tali misure e, per converso, l’avvenuta condivisione delle credenziali di autenticazione tra più soggetti legittimati alla gestione della piattaforma rappresentino una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate.”

Successivamente alla comminazione della sanzione di cui in oggetto, si assisteva ad un vero e proprio botta e risposta tra Casaleggio e il Dott. Soro; il provvedimento potrebbe ora essere impugnato davanti al Giudice Ordinario, anche se, valutando le gravi violazioni commesse e la modicità della sanzione pecuniaria comminata rispetto al massimale potenziale previsto dal GDPR, a parere di chi scrive il provvedimento è da considerarsi decisamente accettabile.

Avv. Stefano Alberto Brandimarte