Il Garante della Privacy “si riserva di verificare” la “sussistenza dei presupposti per l’eventuale contestazione delle sanzioni amministrative” nei confronti dei titolari del trattamento dei dati dei siti web riferibili al Movimento 5 Stelle. E’ quanto si legge in un provvedimento arrivato al termine di accertamenti avviati dopo le notizie su intrusioni informatiche avvenute nell’agosto 2017. Il Garante, tra l’altro, prescrive nei confronti dei titolari del trattamento dei siti www.beppegrillo.it e www.ilblogdellestelle.it “l’adozione (qualora sia ravvisata la necessità di tali trattamenti) di una specifica modalità di acquisizione del consenso al trattamento dei dati personali per finalità di promozione commerciale e pubblicitaria”. Per quanto riguarda la sicurezza, richiede che “i futuri sviluppi della piattaforma Rousseau e degli altri strumenti on-line del Movimento dovranno sempre essere validati sul piano della sicurezza informatica da adeguate azioni di vulnerability assessment attuate precedentemente alla messa in esercizio, allo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico”. Per quanto riguarda le modalità di voto elettronico, scrive il Garante, “ferma restando la libertà di ogni associazione privata – quale appunto un movimento o partito politico – di strutturarsi con proprie regole (e a condizione che delle stesse sia fornita adeguata informazione a tutti gli associati), si evidenzia come, alla luce delle risultanze istruttorie, le misure di sicurezza connesse al controllo delle operazioni di voto destino alcune perplessità”. Per questo “sarebbe necessario che il sistema di e-voting venisse riconfigurato in modo da minimizzare i rischi per i diritti e per le libertà delle persone fisiche”. Infine, il Garante della Privacy “dichiara, nei confronti dei titolari del trattamento di tutti i siti riconducibili al Movimento 5 Stelle, l’illiceità del trattamento dei dati personali degli utenti in ragione della comunicazione a soggetti terzi (Wind Tre S.p.A. e ITNET s.r.l.) dei dati medesimi in mancanza di idoneo presupposto”.
IL SITO DEL GARANTE
Il Movimento 5 Stelle e la piattaforma Rousseau finiscono sotto la lente dell’Autorita’ Garante per la protezione dei dati personali che dichiara “l’illiceita’ del trattamento dei dati personali degli utenti in ragione della comunicazione a soggetti terzi (Wind Tre S.p.A. e ITNET s.r.l.) dei dati medesimi in mancanza di idoneo presupposto”. E’ quanto si legge sul sito del Garante per la Privacy, al provvedimento 548 datato 21 dicembre 2017. Il Garante, si legge ancora “ai sensi dell’art. 154, comma 1, lett. a), b) e c) del Codice: 1) prescrive nei confronti dei titolari del trattamento dei siti web riferibili al Movimento 5 Stelle le misure necessarie relative ai profili concernenti la sicurezza informatica di cui al paragrafo 7 della premessa; 2) prescrive nei confronti del titolare del trattamento del sito web www.movimento5stelle.it e della piattaforma Rousseau: a) quale misura necessaria, l’indicazione, nell’informativa resa ai sensi dell’art. 13 del Codice, dei soggetti (o categorie di soggetti) ai quali i dati sono comunicati, nei termini di cui al par. 5.1, salvo che il titolare del trattamento provveda alla loro designazione quali responsabili del trattamento ai sensi dell’art. 29 del Codice; b) quale misura necessaria, la previsione di una informativa specifica relativa alle funzionalita’ della piattaforma Rousseau nei termini di cui al paragrafo 5.2.; c) quale misura opportuna, l’adozione degli accorgimenti di cui al paragrafo 8.2. 3) prescrive nei confronti del titolare del trattamento del sito www.beppegrillo.it: a) quale misura necessaria, l’adozione di una specifica modalita’ di acquisizione del consenso al trattamento dei dati per finalita’ di promozione commerciale e pubblicitaria nei termini di cui al paragrafo 6; b) quale misura necessaria, l’indicazione, nell’informativa resa ai sensi dell’art. 13 del Codice, dei soggetti (o categorie di soggetti) ai quali i dati sono comunicati, nei termini di cui al par. 5.1, salvo che il titolare del trattamento provveda alla loro designazione quali responsabili del trattamento ai sensi dell’art. 29 del Codice; c) quale misura opportuna, una piu’ chiara enunciazione dei flussi di dati nei confronti delle altre entita’ del Movimento, come rilevato nel paragrafo 5.3; 4) prescrive nei confronti del titolare del trattamento del sito www.blogdellestelle.it: a) quale misura necessaria, l’adozione di una specifica modalita’ di acquisizione del consenso al trattamento dei dati per finalita’ di promozione commerciale e pubblicitaria nei termini di cui al paragrafo 6; b) quale misura necessaria, l’indicazione, nell’informativa resa ai sensi dell’art. 13 del Codice, dei soggetti (o categorie di soggetti) ai quali i dati sono comunicati, nei termini di cui al paragrafo 5.1, salvo che il titolare del trattamento provveda alla loro designazione quali responsabili del trattamento ai sensi dell’art. 29 del Codice”.
E, infine, il garante “dichiara, nei confronti dei titolari del trattamento di tutti i siti riconducibili al Movimento 5 Stelle, l’illiceita’ del trattamento dei dati personali degli utenti in ragione della comunicazione a soggetti terzi (Wind Tre S.p.A. e ITNET s.r.l.) dei dati medesimi in mancanza di idoneo presupposto; 6) dichiara, nei confronti dei medesimi titolari del trattamento, la parziale inidoneita’ dell’informativa resa ai sensi dell’art. 13 del Codice, nei termini di cui al paragrafo 5; 7) si riserva di verificare, con riferimento ai precedenti punti 5) e 6), la sussistenza dei presupposti per l’eventuale contestazione delle sanzioni amministrative di cui agli artt. 161 e 162, comma 2bis del Codice; ai sensi dell’art. 157 del Codice, invita, altresi’, i titolari del trattamento a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto al punto 1) del presente dispositivo entro 60 giorni dalla data di ricezione del presente provvedimento e che le misure necessarie di cui ai punti 2), 3) e 4) siano adottate dai rispettivi titolari del trattamento entro 30 giorni dal ricevimento del presente provvedimento. Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento puo’ essere proposta opposizione all’autorita’ giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero”.