Il Garante per la Privacy, al termine di un'istruttoria aperta dopo alcuni attacchi hacker alla piattaforma Rousseau e ad altri siti web riconducibili a M5S, ha adottato un provvedimento che indica la necessità di misure per aumentare il livello di sicurezza del sistema operativo. Il Garante, dichiarando l'illiceità del trattamento dei dati personali, si è riservato inoltre di verificare la sussistenza dei presupposti per sanzioni amministrative.
Il provvedimento del Garante della Privacy, molto articolato, prende vita dall'incursione hacker nella piattaforma Rousseau ad agosto del 2017, quando erano in corso alcune votazioni per scegliere i candidati locali. Il Garante analizza nei dettagli la struttura della galassia Web a Cinque Stelle, sia da un punto di vista della sicurezza informatica, sia, soprattutto, dal punto di vista della privacy. Entrambi i lati sono carenti: la piattaforma utilizza software vecchi, i dati vengono acquisiti con informative sbrigative ma soprattutto, nelle conclusioni, il Garante punto il dito contro la commistione tra politica e fini commerciali. I dati personali, infatti, sarebbero ceduti, non è chiaro se a pagamento o no, e utilizzati senza il consenso degli interessati. Ecco il passaggio: (il Garante) "dichiara, nei confronti dei titolari del trattamento di tutti i siti riconducibili al Movimento 5 Stelle, l'illiceità del trattamento dei dati personali degli utenti in ragione della comunicazione a soggetti terzi (Wind Tre S.p.A. e ITNET s.r.l.) dei dati medesimi in mancanza di idoneo presupposto"
Le altre misure del Garante - Nel provvedimento, il Garante prescrive nei confronti del sito www.movimento5stelle.it e della piattaforma Rousseau, quali misure necessarie, l'indicazione, nell'informativa, dei soggetti ai quali i dati sono comunicati e la previsione di una informativa specifica relativa alle funzionalità della piattaforma Rousseau. Quale misura opportuna, l'adozione di accorgimenti per il sistema di e-voting in modo da minimizzare i rischi per i diritti e per le libertà delle persone fisiche, prevedendo la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto. A tale scopo andrà modificato lo schema del database laddove prevede l'utilizzo del numero telefonico dell'iscritto in connessione ai voti elettronici espressi.
Nei confronti dei siti www.beppegrillo.it e www.blogdellestelle.it, il Garante prescrive quale misura necessaria l'adozione di una specifica modalità di acquisizione del consenso al trattamento dei dati per finalità di promozione commerciale e pubblicitaria e l'indicazione nell'informativa dei soggetti ai quali i dati sono comunicati. Nei confronti di tutti i titolari del trattamento (Beppe Grillo per https://www.movimento5stelle.it https://rousseau.movimento5stelle.it, www.beppegrillo.it e Associazione Rousseau per www.ilblogdellestelle) il Garante prescrive misure e accorgimenti per garantire che i futuri sviluppi della piattaforma Rousseau e degli altri strumenti online del Movimento siano sempre essere validati sul piano della sicurezza informatica da adeguate azioni di 'vulnerability assessment'. Il Garante impone, inoltre, l'adozione di misure che assicurino una maggior sicurezza delle password degli utenti e del protocollo di rete https per l'accesso a tutti i contenuti del sito www.movimento5stelle.it, basato su un certificato digitale emesso da una Certification Authority riconosciuta. Sul database del sistema Rousseau dovranno essere, inoltre, adottate misure che consentano l'auditing informatico mediante la tenuta delle registrazioni degli accessi e delle operazioni compiute.
La replica: "Raccomandazioni già accolte" - Da parte sua l'associazione Rousseau replica sostenendom in una nota, che le raccomandazioni sono già state accolte. "In seguito all'attacco hacker del mese di agosto sono già state attivate le procedure per mettere in sicurezza il sistema Rousseau e la polizia postale ha condotto un'indagine sugli autori degli attacchi. A tal riguardo le richieste e le raccomandazioni del garante per la privacy sono già state accolte. Ringraziamo il garante e la polizia postale per la collaborazione".