Il Garante per la protezione dei dati personali esamina le misure di sicurezza della piattaforma Rousseau e approfondisce la problematica del sistema di e-voting, cioè di votazione online sotto il profilo della protezione delle schede elettroniche e dell’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico.
Il Garante per la protezione dei dati personali ha aperto nel 2017, a seguito di diverse segnalazioni di possibili violazioni di dati, una specifica istruttoria al fine di verificare la presenza o meno di violazioni del diritto alla privacy connesse al trattamento dei dati del portale dell’associazione politica Rousseau e ha rappresentato all’associazione una serie di criticità. Le valutazioni del Garante. Il Garante ha effettuato successivamente un accertamento ispettivo il 12 e 13 novembre 2018 di natura prettamente tecnica avente lo scopo di verificare in concreto - attraverso una serie di accessi ai sistemi informatici svolti in presenza di tutte le professionalità necessarie – la robustezza dei sistemi di sicurezza adottati rispetto alle criticità rappresentate dall’Autorità. Ha poi osservato che pur avendo le attività poste in essere migliorato in modo significativo gli aspetti di sicurezza della piattaforma Rousseau, residuano tuttavia alcune importanti vulnerabilità rispetto alle quali l’Autorità è tenuta ad intervenire attraverso i poteri che le sono attribuiti dal nuovo Regolamento UE 2016/679, pienamente applicabile dal 25 maggio 2018. Il Garante ha comminato all’associazione Rousseau in qualità di responsabile esterno al trattamento la sanzione del pagamento di euro 50.000 per la violazione del combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a del Regolamento UE 2016/679. L’analisi si è focalizzata sul profilo della sicurezza del trattamento il sopra citato art. 32 del regolamento privacy 679 del 2016 prevede che Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Il provvedimento in esame è di estremo interesse in considerazione delle potenzialità e della finalità della piattaforma Rousseau, di particolare rilevanza e delicatezza anche sotto il profilo della partecipazione democratica dei cittadini alle scelte politiche e alla luce del dibattito in corso nel nostro paese sugli strumenti di democrazia diretta. Il provvedimento richiama l’attenzione su diversi profili critici le votazioni non sembrerebbero anonime, la possibilità di manipolazione delle votazioni la mancanza di controlli e l’assenza di misure adeguate a protezione dei dati. Da alcuni accertamenti effettuato dal Garante anche presso i fornitori informatici dell’associazione era emerso che il voto espresso non era anonimo in quanto era stata scoperta una tabella di database contenente le informazioni relative alle operazioni di e-voting effettuate nelle settimane e mesi precedenti l’accertamento ispettivo ultimi dati relativi alla votazione online del 12 settembre 2018 . Secondo il Garante la piattaforma Rousseau non appare in grado, tra l’altro, né di prevenire gli eventuali abusi commessi da addetti interni, non essendo stati in essa previsti accorgimenti per partizionare il loro dominio d’azione in particolare, degli amministratori di sistema e dei DBA – data base administrators , né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività. A seguito degli accertamenti il Garante ha verificato successivamente che la sopra citata tabella excel non contiene [più] il numero di cellulare del soggetto votante” e che la medesima tabella contiene un ID utente [che] permette indirettamente di risalire [al] soggetto votante” v. verbale ispezione presso Wind del 12 novembre 2018, p. 4 . Il Garante sottolinea come l’assenza di adeguate procedure di auditing informatico, escludendo la possibilità di verifica ex post delle attività compiute, non consente di garantire l’integrità, l’autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting almeno sulla base degli standard internazionali comunemente accettati . Si è osservato come gli addetti tecnici alla gestione della piattaforma e, in particolare, coloro che svolgono la funzione di Dba Data Base Administrator , pur individuati tra persone di elevata affidabilità, sono comunque tecnicamente in grado di accedere alle delicate funzionalità del Dbms in cui vengono registrati i dati relativi alle espressioni di voto mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing. La piattaforma, secondo il Garante non appare in grado né di prevenire eventuali abusi commessi da addetti interni, né di consentire l'accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività . Il Garante osserva che in questo senso sussistono forti perplessità sul significato da attribuire al termine 'certificazione' riferito al titolare del trattamento all'intervento di un notaio o di un soggetto terzo di fiducia in una fase successiva alle operazioni di voto con lo scoop di asseverarne gli esiti . L’Autorità ha osservato come dubbio infatti - si legge - che qualunque intervento ex post di soggetto di pur comprovata fiducia notai, certificatori accreditati poco possa aggiungere, dal punto di vista della genuinità dei risultati, in un contesto in cui le caratteristiche dello strumento informatico utilizzato, non consentendo di garantire tecnicamente la correttezza delle procedure di voto, non possono che produrre una rappresentazione degli esiti non suscettibile di analisi, nell'impossibilità di svolgere alcuna significativa verifica su dati che sono, per loro natura e modalità di trattamento, tecnicamente alterabili in pressoché ogni fase del provvedimento di votazione e scrutinio antecedente la cosiddetta certificazione . Il Garante per la protezione dei dati personali ingiunge, pertanto, all’Associazione alcune specifiche misure, quali completare l’adozione delle misure necessarie di auditing informatico previste al par. 7, lett. E, del precedente provvedimento dell’Autorità n. 548, prevedendo che anche gli accessi al database effettuati tramite interfaccia XX siano oggetto di completa registrazione in modo da consentire la verifica a posteriori delle attività compiute cfr. punti 2.1 e 3.3 , entro il termine di 60 giorni dalla ricezione del provvedimento. L’Autorità ha inoltre richiesto all’associazione di rimuovere la criticità emersa a seguito dell’accertamento ispettivo del novembre 2018 e di provvedere, pertanto ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi definendo per ciascuno i differenti profili di autorizzazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento. Il Garante evidenzia, nel provvedimento, come l’eventuale inosservanza del presente ordine sia soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e del Regolamento sanzione fino a 20 milioni di euro . Il Garante ha richiesto entro il termine di 120 giorni dalla ricezione del provvedimento, ai fini del rispetto del principio di responsabilizzazione di cui all’articolo 24 del Regolamento, ad una rivisitazione complessiva delle iniziative di sicurezza adottate cfr. par. 3.1 sulle Attività di vulnerability assessment” , alcune delle quali, per quanto conformi, in termini di stretto adempimento, alle prescrizioni di cui al par. 7, lett. A del provvedimento n. 548 del 2017, risultano comunque inficiate nella loro efficacia dalle gravi limitazioni tecniche intrinseche al sistema utilizzato CMS - Movable Type 4 . Il Garante ha infatti evidenziato alcune criticità derivanti dall’obsolescenza di alcuni componenti software dei siti web del movimento con particolare attenzione alla piattaforma Cms che è ancora Movable Type 4. Il Garante ha inoltre evidenziato come l’aggiornamento dei CMs a supporto dei siti web del Movimento è particolarmente gravoso in quanto lo stesso produttore ha cessato la distribuzione di aggiornamenti e di patch di sicurezza al momento della cessazione della versione del software verificatesi il 31 dicembre 2013. L’Autorità ha richiesto di effettuare, entro il termine di 60 giorni dalla ricezione d provvedimento, una valutazione d’impatto sulla protezione dei dati, specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma. Il Garante ha richiamato l’attenzione sul fatto che solo in base ad una rigorosa progettazione e ad una attenta valutazione dei rischi sia, infatti, possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’autenticità e la riservatezza delle espressioni di voto. Le conclusioni della valutazione d’impatto dovranno pervenire all’ Autorità entro 70 giorni dalla ricezione del provvedimento. Il Garante sottolinea come l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1 del regolamento privacy 679 del 2016. Pertanto l’Autorità ha richiesto all’associazione l’adozione tempestiva delle misure tecniche tenendo conto dell’urgenza di assicurare l’integrità, resilienza e sicurezza di una piattaforma, quale quella in esame, utilizzata per l’esercizio dei diritti politici dei cittadini. Il provvedimento dimostra come il Garante non sia soffermato sulle singole violazioni ma abbia richiesto all’associazione di dimostrare di avere adottato misure adeguate in relazione al contesto, alla tipologia dei trattamenti, dei rischi per gli interessati alla luce del principio di accountability. Il provvedimento in esame è di interesse in quanto costituisce uno dei primi casi di natura sanzionatoria comminata dopo il periodo di diretta applicazione del GDPR e stimola una riflessione sulla democrazia digitale e su un sistema di voto on line che possa prevedere da un lato la protezione delle schede elettroniche di voto e, dall’altro lato, l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico. Il provvedimento conferma come sia fondamentalmente impossibile rendere sicuro il voto elettronico. Il provvedimento in esame è finalizzato a tutelare la libertà e i diritti fondamentali attraverso la partecipazione a un movimento politico e dimostra come la tutela del trattamento dei dati faccia parte della libertà e dei diritti dei cittadini.