Multa da 50mila euro dal Garante della privacy alla piattaforma Rousseau: “Voto manipolabile”
Il Garante della privacy ha comminato una multa di 50mila euro alla piattaforma Rousseau perché “non gode delle proprietà richieste a un sistema di e-voting”.
Secondo l’Authority la piattaforma non garantisce la segretezza e sicurezza del voto dei suoi iscritti, motivo per cui il voto può essere manipolato dagli amministratori del sistema.
Inoltre tale manipolazione può avvenire senza lasciare traccia e in qualsiasi fase del processo.
La multa arriva alla fine delle attività ispettive diretta dal Garante della privacy, che aveva deciso di aprire un’istruttoria circa due anni fa.
L’Authority il 4 aprile ha “condannato” l’Associazione presieduta da Davide Casaleggio a pagare 50mila euro e a predisporre una serie di misure correttive volte a: scongiurare la permanente vulnerabilità della piattaforma; consentire la verifica a posteriori delle attività compiute; rimuovere la condivisione delle credenziali di accesso, che rendono impossibile identificare e controllare i soggetti autorizzati a operare sulla piattaforma; progettare un sistema di e-voting in grado non solo di proteggere i dati personali da attacchi interni ed esterni, ma soprattutto di assicurare l’autenticità e la riservatezza delle espressioni di voto”.
Se la piattaforma non si adeguerà alle richieste del Garante incorrerà in ulteriori sanzioni.
In merito alla segretezza del voto, il Garante ha specificato che nonostante le migliorie già messe in atto “sono state evidenziate persistenti criticità”.
Nel corso dell’istruttoria è emerso che alla piattaforma era collegata una tabella esterna in cui erano riportate tutte le informazioni relative alle operazioni di voto, al numero di telefono e all’ID dei votanti e il voto espresso.
“La mera rimozione del numero telefonico, a fronte della presenza di un altro identificativo univoco dell’iscritto non può essere considerata quale misura coerente con gli obiettivi di protezione dei dati personali che si intendevano promuovere”, ha affermato il Garante.
Inoltre “i risultati delle votazioni restano esposti per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva ‘certificazione’ dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline)”.