Speciale per Senza Bavaglio
Gianluca Amarù
16 novembre 2020
La piattaforma Rousseau offriva la possibilità di esprimere il proprio voto on line nel rispetto dell’anonimato degli utenti e delle procedure atte a garantire la certezza del risultato e l’affidabilità del sistema. Tuttavia il data breach subito da Rousseau ha spinto l’Autorità Garante della Privacy italiana ad effettuare un’approfondita indagine sulla piattaforma.
Essa ha rivelato gravi criticità sia sotto l’aspetto tecnico informatico che sotto il profilo organizzativo. In buona sostanza la piattaforma non era affatto sicura, non garantiva l’anonimato degli utenti, né la segretezza del voto, né l’esattezza/certezza dei risultati.
Oltre ad evidenti carenze dal punto di vista informatico (la piattaforma ha subito un attacco hacker) sono state evidenziate gravi deficienze organizzative che rendevano il sistema vulnerabile ad attacchi esterni ed anche, purtroppo, ad interventi interni. In buona sostanza gli amministratori di sistema e dei databases non erano sottoposti a limiti preventivi né a sufficienti controlli relativamente al loro operato. Le attività svolte dagli stessi venivano sottoposte a procedure di tracciamento giudicate dal Garante italiano insufficienti ad assicurare la sicurezza di tutto il sistema.
L’intervento dell’Autority relativamente alla piattaforma Rousseau ha evidenziato un errore comune nel quale spesso i titolari di un trattamento vanno a ricadere. Possiamo affermare, senza timore di smentita, che i soggetti che hanno progettato e realizzato il sistema di voto online sulla piattaforma non abbiano considerato alcuni fondamentali principi in ordine alla sicurezza di tutto il sistema, sottostimando i rischi ai quali lo stesso era geneticamente esposto.
E’ noto come ogni sistema informatico non possa dirsi “sicuro” in termini assoluti. Se a tale carenza “fisiologica” aggiungiamo la possibilità di un intervento “umano” non sottoposto a controlli né a limiti preventivi, il risultato è un prodotto non sicuro, quindi non certo, che pone a grave rischio le libertà ed i diritti degli interessati.
Sono più che condivisibili le preoccupazioni che vengono spesso esternate in ordine al sistema del voto online. Tale modalità può risultare utile (e magari anche divertente) per concorsi televisivi a premio (il famoso “televoto”) ma, attualmente, non offre garanzie sufficenti per gli interessati.
Due ultime note.
La prima. Chi intenda attivare questa modalità di espressione delle preferenze degli interessati dovrebbe – prima di ogni altra cosa – rispettare il principio dell’accountability e quindi dare contezza delle misure di sicurezza che intende implementare e della propria valutazione sul rischio connesso a tali trattamenti dei dati personali. A tal proposito si sottolinea come le informazioni personali in oggetto siano dati di persone fisiche aventi contenuto particolare e delicatissimo poichè potenzialmente atti a rivelare le opinioni politiche religiose o sindacali degli interessati. Si tratta dei dati che – secondo il Regolamento Europeo 679/16 – debbono godere del più alto livello di tutela.
Seconda considerazione. La modalità di voto online non può essere imposta come obbligo per tutti gli interessati. Ad avviso dello scrivente, il titolare del trattamento dovrebeb prevedere, in alternativa ad essa, ordinarie modalità di espressione della preferenza, similmente a quanto accade nel caso del trattamento di dati biometrici come la firma elettronica
Ginluca Amarù*
L’avvocato Gianluca Amarú si occupa di privacy da oltre vent’anni ed autore di diversi volumi sul GDPR (Genaral Data Protection Regulation)
Leave a Comment