Il Garante per la Privacy, al termine di un'istruttoria aperta la scorsa estate dopo gli episodi di violazione dei sistemi informatici che hanno coinvolto la piattaforma Rousseau e altri siti web riconducibili a M5S, ha adottato un provvedimento con l'indicazione di misure per aumentare il livello di sicurezza del sistema operativo.

Il Garante, ha dichiarato illecito il trattamento dei dati personali da parte dei siti e sta valutando possibili sanzioni: "La mancata designazione delle società Wind Tre S.p.a. e Itnet S.r.l. quali responsabili del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 Stelle – si legge nel provvedimento del 21 dicembre, reso noto oggi – configura l'illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati". I pratica il M5s non aveva chiarito nell'informativa rivolta a chi votava on line che i dati personali sarebbero stati girati alle due società , Wind Tre e Itnet, chiamate a dare supporto tecnico.

Pertanto, l'Authority, guidata da Antonello Soro, "si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per l'eventuale contestazione delle sanzioni amministrative di cui all'art. 162, comma 2bis del Codice". 

La violazione riguarda gli articoli 161 e 162 del codice della privacy: "La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro""in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta".

L'Authority ricorda inoltre che dopo gli attacchi informatici, l'Associazione Rousseau ha presentato una denuncia per il tramite della Polizia Postale e delle telecomunicazioni di Milano. "Nel corso dell'accertamento ispettivo – si legge nel provvedimento – l'Autorità ha chiesto informazioni in ordine ai soggetti addetti alle funzioni di "amministratore di sistema" relativamente ai sistemi software di base (sistemi operativi, sistemi di gestione di base dati e sistemi di gestione dei contenuti) a servizio della piattaforma Rousseau". 

Il Garante prescrive nei confronti del sito www.movimento5stelle.it e della piattaforma Rousseau, l'indicazione, nell'informativa, dei soggetti ai quali i dati degli utenti sono comunicati e la previsione di una informativa specifica relativa alle funzionalità della piattaforma Rousseau. Chiede poi l'adozione di accorgimenti per il sistema di e-voting in modo da minimizzare i rischi per i diritti e per le libertà delle persone fisiche, prevedendo la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto. Per questo andrà modificato lo schema del database nella parte in cui si prevede l'utilizzo del numero telefonico dell'iscritto in legato ai voti elettronici espressi.

Nei confronti dei siti www.beppegrillo.it e www.blogdellestelle.it, il Garante stabilisce come misura necessaria l'adozione di una specifica modalità di acquisizione del consenso al trattamento dei dati per finalità di promozione commerciale e pubblicitaria e l'indicazione nell'informativa dei soggetti ai quali i dati sono comunicati.

Il Garante impone, poi l'adozione di misure che assicurino una maggior sicurezza delle password degli utenti e del protocollo di rete https per l'accesso a tutti i contenuti del sito www.movimento5stelle.it, basato su un certificato digitale emesso da una Certification Authority riconosciuta.

La risposta del M5S.

"In seguito all'attacco hacker dello scorso mese di agosto sono già state attivate le procedure per mettere in sicurezza il sistema Rousseau e la polizia postale ha condotto un'indagine sugli autori degli attacchi. A tal riguardo le richieste e le raccomandazioni del garante per la privacy sono già state accolte. Ringraziamo il garante e la polizia postale per la collaborazione". Così ha risposto l'associazione Rousseau in una nota.