Garante per la protezione dei dati personali: provvedimento n. 83 del 4 aprile 2019
Fatto
Nell’estate del 2017 il Garante per la protezione dei dati personali aveva avviato nei confronti di alcuni siti web, legati ad un movimento politico presente in Italia, un’istruttoria finalizzata alla verifica del trattamento dei dati personali operata dai soggetti titolari di tali siti internet.
A conclusione dell’istruttoria, l’Autorità garante aveva prescritto, nei confronti dei relativi titolari del trattamento, l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti dei siti web conformi ai principi della disciplina in materia di protezione dei dati personali. Tra le prescrizioni impartite vi erano quelle concernenti i profili di sicurezza informatica, la riformulazione delle informative rese agli interessati, sia nel senso di una maggiore specificazione delle funzionalità dei diversi siti e delle relative tipologie di trattamenti, sia ai fini della corretta identificazione dei soggetti cui i dati venivano comunicati.
Il Garante nel suo provvedimento aveva invitato, inoltre, i titolari dei siti web a prevedere una serie di misure e di accorgimenti finalizzati a minimizzare i rischi per i diritti e le libertà degli utenti del sistema di e-voting attraverso, ad esempio, la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto, nonché il disaccoppiamento del numero telefonico del votante dal voto espresso, allo scopo di rendere i dati relativi alle votazioni del tutto anonimi o perlomeno non direttamente riconducibili ai votanti.
Dopo il suddetto provvedimento, e decorso il periodo di tempo concesso ai titolari, entro cui questi dovevano adempiere alle prescrizioni impartite, il Garante ha avviato un accertamento ispettivo per verificare la bontà delle prescrizioni adottate dagli stessi. Da tale accertamento, sulla base delle risultanze istruttorie, l’Autorità, pur riconoscendo che vi era stato un sostanziale innalzamento dei livelli di sicurezza dei trattamenti effettuati nell’ambito dei siti web, ha rilevato alcune criticità nelle azioni intraprese, formulando alcune considerazioni, per quanto qui di interesse, in ordine a misure di auditing informatico e riservatezza delle operazioni di voto elettronico.
Volume consigliato
La decisione del Garante
Conclusa, dunque, la fase istruttoria finalizzata a verificare gli adeguamenti posti in essere dai titolari dei siti web a seguito delle prescrizioni del Garante per la protezione dei dati personali, l’Autorità, pur avendo riscontrato un significativo miglioramento della sicurezza della piattaforma internet del movimento politico, ha ritenuto doveroso in virtù dei poteri ad essa concessi dal GDPR, formulare ulteriori prescrizioni in ordini ad alcuni aspetti su cui aveva osservato importanti vulnerabilità.
In particolare, il primo aspetto su cui il Garante della privacy si era soffermato, suggerendo alcune correzioni, riguardava le misure necessarie di auditing informatico. Dall’accertamento operato era emerso infatti che se gli accessi da terminale remoto erano oggetto di registrazione in grado di permettere a posteriori la verifica puntuale delle attività compiute, come il login, logout, o i comandi impartiti, così non era per gli accessi mediante una determinata interfaccia, che non consentiva di tracciare adeguatamente gli accessi al database né, tantomeno, di tracciare le operazioni compiute sul database in lettura o in modifica. Il Garante aveva osservato che tali accessi erano riservati solo al personale della piattaforma internet, con qualifica di amministratore di sistema, che aveva la possibilità di accedere a delicate funzionalità delle piattaforme software con cui venivano erogati i servizi, senza che il loro operato potesse essere soggetto a verifiche. A seguito di quanto emerso l’Autorità garante ha espresso la sua valutazione circa questa disfunzionalità ritenendo che la presenza di modalità di accesso e interazione con i sistemi che, non comportando la generazione di auditable events funzionali all’auditing informatico, eludono le verifiche successive, costituisce una grave carenza che espone un sistema così delicato a potenziali rischi di violazione dei dati personali. Per tale ragione, in riferimento al caso di specie, ha disposto che gli accessi al database effettuati tramite una precisa interfaccia debbano essere oggetto di completa registrazione in modo da consentire la verifica a posteriori delle attività compiute.
Il secondo aspetto che ha richiamato l’attenzione del Garante è stato quello della riservatezza nelle operazioni di voto elettronico. Nella fase di accertamento volta a verificare l’adempimento delle prescrizioni impartite con il precedente provvedimento, il Garante aveva appreso che, nonostante le attività compiute in tal senso dal titolare della piattaforma internet (in particolare: l’eliminazione dalle informazioni relative alle operazioni di e-voting il numero di cellulare del soggetto votante e la cancellazione, dopo la certificazione dell’esito della votazione da parte di un notaio, dei dati relativi all’espressione della volontà del votante stesso), era ancora esistente un’ulteriore tabella di database contenente informazioni relative a operazioni di voto ai quali erano collegabili il numero di cellulare, l’ID utente del soggetto votante, e i dati relativi all’espressione di voto. Sulla base di queste evidenze il Garante ha ritenuto che le misure adottate non garantivano un’adeguata protezione dei dati personali relativi alle votazioni online, non consentendo di garantire l’integrità, l’autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting. Aveva poi riscontato che gli addetti tecnici alla gestione della piattaforma e, in particolare, coloro che svolgono la funzione di Data Base Administrator, erano in grado di accedere a determinate funzioni in cui venivano registrati i dati relativi alle espressioni di voto, mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing. Emergeva, dunque, che la regolarità delle operazioni di voto era affidata esclusivamente alla correttezza personale e deontologica degli incaricati, ed è per tale ragione che il Garante aveva ritenuto la piattaforma internet non confacente alle caratteristiche richieste ad un sistema di e-voting. La piattaforma non appariva in grado di prevenire gli eventuali abusi commessi da addetti interni, né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività. Il fatto che il titolare del trattamento aveva previsto la certificazione del voto da parte di un notaio, in una fase successiva alle operazioni di voto, con lo scopo di asseverarne gli esiti, non eliminava il rischio dovuto alla libertà di accesso a questi dati da parte dei data base admistrator, che potevano essere alterati in ogni fase del procedimento di votazione e scrutinio antecedente la c.d. “certificazione”. Sulla base di quanto emerso, ritenendo che solo in base ad una rigorosa progettazione e ad una attenta valutazione dei rischi sia possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’autenticità e la riservatezza delle espressioni di voto, il Garante ha prescritto al titolare dei dati di effettuare una valutazione d’impatto sulla protezione dei dati, riferita alle funzionalità di e-voting attribuite alla piattaforma, da inviare allo stesso entro 70 giorni.
Scrivi un commento
Accedi per poter inserire un commento