Il Garante per la Protezione dei dati personali, a seguito di un’istruttoria avviata nel 2017, ha sanzionato la piattaforma Rousseau con una multa che ammonta a 50.000 euro.
Il provvedimento è stato pubblicato il 4 aprile 2019 ed è disponibile sul sito web del Garante (link a https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9101974).
Il Garante, pur riscontrando dei miglioramenti rispetto alla situazione rilevata in passato, ha deciso di sanzionare l’associazione a causa delle rilevanti falle ancora presenti sulla piattaforma.
Il Movimento 5 Stelle ha accusato duramente il Garante, accusandolo di parzialità politica. Le accuse però sono state subito rispedite al mittente dall’Autorità, che ha fatto inoltre notare come nel corso dell’attuale settennato siano stati sanzionate anche altre forze politiche.
Se i 5 Stelle accusano l’Autorità di essere stata troppo severa nei loro confronti, secondo alcuni commentatori, per evitare di sollevare polveroni politici, il Garante sarebbe stato fin troppo morbido nella gestione delle indagini e nella fase sanzionatoria.
Ma, nel dettaglio, quali sono le debolezze individuate dal Garante a seguito delle ispezioni effettuate presso la sede dell’Associazione Rousseau e presso il data center di Wind Tre S.p.a. (che gestisce il sistema informativo di rousseau.movimento5stelle.it e movimento5stelle.it)?
Di seguito una breve lista:
1. Obsolescenza dei software utilizzati.
Il Garante ha riscontrato gravi falle nelle policy relativa all’aggiornamento software, dal momento che il CMS (Content Management System) utilizzato da Rousseau è la versione 4 di Movable Type. La suddetta versione è obsoleta, visto che il CMS è già arrivato alla versione 7 (release 7.1.1. del 29 gennaio 2019). Di conseguenza, “ciò rende particolarmente gravoso il compito di mantenere aggiornato e sicuro il Cms a supporto dei siti web del Movimento, poiché lo stesso produttore ha cessato la distribuzione di aggiornamenti e di patch di sicurezza al raggiungimento della End of Life del prodotto”.
2. Assenza di capacità di auditing
Il Garante ha rilevato che gli addetti che si occupano della gestione della piattaforma e più in particolare coloro che hanno l’autorizzazione a gestire il Database di Rousseau siano esclusi dai sistemi e dalle procedure di audit, avendo così la possibilità di modificare dati e funzionalità della piattaforma senza che nessun sistema automatizzato tenga traccia delle loro azioni. Questo comporta chiaramente una pesante carenza nella gestione dei dati personali presenti nella piattaforma.
3. Mancanza di requisiti adeguati di riservatezza delle operazioni di voto elettronico.
Pur avendo adottato diverse misure per anonimizzare e proteggere le informazioni contenute nei database relativi alle operazioni di e-voting, il Garante ha rilevato che le uniche misure adottate per garantire la riservatezza delle operazioni di voto sono organizzative e non basate su opportuni sistemi informatici bloccanti. “Questo lascia esposti i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva c.d. “certificazione” dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline), non garantiscano l’adeguata protezione dei dati personali relativi alle votazioni online.”
4. Condivisione delle credenziali di autenticazione per la gestione delle piattaforme “www.movimento5stelle.it” e “rousseau.movimento5stelle.it”.
Le credenziali di accesso degli incaricati che si occupano della gestione della piattaforma erano condivise da più persone. Di conseguenza, se uno degli incaricati avesse compiuto un’irregolarità, non si sarebbe potuto identificare in maniera univoca, vista la condivisione di user e password.
L’elenco di criticità riportato rappresenta anche un’utile check list per tutti gli imprenditori e amministratori di sistema che si trovano a gestire dati personali all’interno delle proprie piattaforme online o software.
LE 4 LEZIONI PER LA VOSTRA AZIENDA
Dopo aver analizzato il provvedimento, proviamo a elencare le quattro lezioni che possiamo apprendere dalla vicenda. Tali spunti, vi saranno soprattutto utili a individuare apposite misure di sicurezza volte a proteggere i database della vostra azienda (in particolare se su tali database sono presenti dati particolari):
1. Aggiornate periodicamente i software, i sistemi operativi, i CMS e gli antimalware utilizzati dalla vostra organizzazione. Anche la negligenza può essere sanzionata;
2. Tenete traccia delle azioni compiute dai soggetti autorizzati e dagli amministratori di sistema sui database aziendali attraverso adeguate procedure di auditing;
3. Prevenire è meglio che curare. È preferibile introdurre sistemi bloccanti che impediscano ai soggetti non autorizzati di compiere azioni illecite sui dati (es. archivi chiusi a chiave, database che contengono dati particolari cifrati e protetti da password ecc), piuttosto che vietare determinate azioni nocive attraverso l’adozione di regolamenti aziendali.
4. Ogni soggetto autorizzato a trattare i dati all’interno della vostra azienda deve avere uno specifico profilo autorizzativo e deve essere dotato di credenziali di autenticazione univoche. Questo vi consentirà di tracciare le eventuali azioni illecite sui database, individuando, in caso di data breach, il responsabile dell’accaduto.
Per avere maggiori informazioni o per richiedere una consulenza specializzata per la vostra azienda, scriveteci una mail a info@argobs.com
Alternativamente, usate il nostro apposito form: https://www.argobs.com/contattaci/