di Roberto Paternic� - Con Provvedimento su data breach - Registro dei provvedimenti n. 83 del 4 aprile 2019, il Garante per la protezione dei dati personali ha evidenziato criticit� della piattaforma Rousseau che costituiscono una violazione dell'art. 32 del Regolamento (UE) 2016/679 circa alcuni parametri di sicurezza che il titolare e il responsabile del trattamento sono tenuti ad adottare al fine di garantire un livello di sicurezza adeguato in rapporto al rischio per i diritti e le libert� delle persone.Multa a Rousseau dal Garante privacy: le motivazioni
Queste le motivazioni dell'authority:
- il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute configura la violazione di quel generale dovere di controllo sulla liceit� dei trattamenti che grava sul titolare del trattamento e, in particolare, dell'obbligo di assicurare pi� adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ci� sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonch� delle funzionalit� che le caratterizzano (tra cui, in particolare, il sistema di e-voting che deve essere necessariamente assistito da idonei accorgimenti a tutela dei dati personali dei votanti). Ci� a maggior ragione tenendo conto che tali banche dati sono particolarmente esposte al rischio di attivit� di hakeraggio o comunque ad attacchi informatici;
- l'accertata condivisione delle credenziali di autenticazione da parte di pi� incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l'accesso ai soli dati necessari nei diversi ambiti di operativit�, nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza.
Deve, infatti, rilevarsi come, per un verso, il trattamento in questione concerna anche dati particolari di cui all'art. 9 del Regolamento (parametro rilevante ai sensi dell'art. 83, paragrafo 1, lettera g) e che la violazione si sia protratta per un tempo significativo, interessando un rilevante numero di soggetti, evidenziando altres� il ricorso a misure tecniche e organizzative carenti, nonch� a dispositivi e sistemi obsoleti.
Va infine considerata la natura, di associazione finalizzata all'esercizio di diritti politici dei cittadini, del trasgressore nonch� il disposto di cui all'art. 22, comma 13, del decreto legislativo 10 agosto 2018, n. 101, in ordine all'irrogazione delle misure sanzionatorie nei primi otto mesi dell'applicazione della nuova disciplina.
Il provvedimento
Accertato il non ancora completo adempimento del provvedimento del 21 dicembre 2017 e verificate le carenze relative ai profili di sicurezza di cui in motivazione:
1. ingiunge, ai sensi dell'art. 58, comma 2, lett. d) del Regolamento, all'Associazione Movimento 5 Stelle e all'Associazione Rousseau quale responsabile del trattamento, di provvedere nei modi e nei termini di cui al par. 4.1, punti 1, 2, 3 e 4;
2. ai sensi dell'art. 58, paragrafo 2, lettera i) del Regolamento, ingiunge all'Associazione Rousseau, quale responsabile del trattamento e in tale qualit� trasgressore, il pagamento, entro 180 giorni dalla data di ricezione del presente provvedimento, di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento.
Ai sensi dell'art. 78 del Regolamento(UE) 2016/679, nonch� dell'art. 152, comma 1-bis del Codice, fermo quanto disposto dall'art. 166, comma 8, del medesimo Codice, avverso il presente provvedimento pu� essere proposta opposizione all'Autorit� giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.