Il Garante per la Privacy sanziona l'Associazione Rousseau
Cinquantamila euro di multa all'Associazione Rousseau per non avere protetto adeguatamente i dati personali degli iscritti in occasione del voto online. Lo ha stabilito il Garante della Privacy che, a conclusione delle verifiche condotte, ha reso noto il provvedimento che "ingiunge all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento, entro 180 giorni dalla data di ricezione del presente provvedimento, di euro 50.000 a titolo di sanzione".
Il garante richiama un provvedimento del 21 dicembre 2017, con il quale l'Autorità, a conclusione di un'istruttoria relativa alla violazione dei sistemi informatici riferiti alla Piattaforma Rousseau e ad altri siti connessi al Movimento 5 Stelle, aveva prescritto "l'adozione di misure necessarie e opportune" per "rendere i trattamenti dei dati personali degli utenti conformi ai princìpi della disciplina in materia di protezione dei dati personali" e poi con una serie di interventi successivi aveva fissato al 15 ottobre 2018 il termine ultimo per ''dare completo adempimento alle prescrizioni".
Riguardo all'adempimento complessivo delle disposizioni, il Garante, "pur avendo constatato che le attività poste in essere abbiano migliorato in modo significativo gli aspetti di sicurezza della piattaforma Rousseau", ha osservato che "residuano alcune importanti vulnerabilità".
Le criticità rilevate "costituiscono una violazione dell'art. 32 del Regolamento (UE) che individua alcuni parametri di sicurezza che il titolare e il responsabile del trattamento sono tenuti ad adottare al fine di garantire un livello di sicurezza adeguato in rapporto al rischio per i diritti e le libertà delle persone".
In particolare "il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute" configura, a giudizio del Garante, "la violazione di quel generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare del trattamento e, in particolare, dell'obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima". Inoltre "l'avvenuta condivisione delle credenziali di autenticazione tra più soggetti legittimati alla gestione della piattaforma" rappresentano "una violazione dell'obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate".
Fonte: Adnkronos