Rousseau, la piattaforma di consultazione degli elettori online utilizzata dal movimento politico a 5 stelle del partito politico italiano, è stata multata di € 50.000 per aver reso i dati dei suoi utenti vulnerabili agli aggressori.
L'autorità italiana per la protezione dei dati, nota come "Garante", ha emesso l'ammenda contro Rousseau il 4 aprile per violazione dell'articolo 32 del GDPR. Questa non è la prima volta che Rousseau si è scagliato contro il Garante. Il DPA italiano ha presentato alla piattaforma una serie di raccomandazioni nel dicembre 2017 (in italiano) per far fronte alle sue vulnerabilità, e nel 2018 ha multato la piattaforma di € 32.000 per timori di condividere illegalmente i dati dei membri con terze parti. Mentre le autorità ammettono che la sicurezza che circonda l'elaborazione dei dati di Rousseau è migliorata, non è ancora conforme agli standard GDPR, che hanno portato a questa recente multa.
Le due rimanenti violazioni di Rousseau sono state un fallimento nell'anonimizzare adeguatamente i dati di voto elettronico e nel regolare l'accesso ai dati personali sulla piattaforma. Garante ha scoperto che un piccolo gruppo di persone dell'Associazione Rousseau e del Movimento a 5 stelle può accedere alla piattaforma e ai suoi dati (che includono dati personali sensibili, come le preferenze politiche) senza lasciare traccia. Nel paragrafo 4.2, le autorità hanno scritto che c'erano:
condivisione delle credenziali di autenticazione da parte di diversi dipendenti con elevati privilegi per la gestione della piattaforma Rousseau e [a] incapacità di definire e configurare i diversi profili di autorizzazione al fine di limitare l'accesso ai soli dati necessari nei vari campi operativi, che nel precedenti sistemi giuridici erano qualificati come misure minime di sicurezza per i responsabili del trattamento dei dati … È quindi evidente che la mancata adozione di tali misure e, al contrario, la condivisione delle credenziali di autenticazione tra soggetti abilitati a gestire la piattaforma rappresentano una violazione
Se desideri leggere la sentenza completa del Garante, fai clic qui . (In italiano)
Sicurezza del trattamento dei dati personali
L'articolo 32 discute gli standard minimi di sicurezza che i responsabili del trattamento e i responsabili del trattamento dei dati devono rispettare. Richiede che le organizzazioni utilizzino sia protezioni tecniche che processi amministrativi per "garantire un livello di sicurezza adeguato al rischio". Indica quattro misure specifiche che le aziende dovrebbero attuare:
- Proteggi i dati con pseudonimizzazione e crittografia – I servizi crittografati end-to-end sono particolarmente efficaci per raggiungere il livello di sicurezza richiesto dal GDPR.
- Garantire la riservatezza, l'integrità, la disponibilità e la resilienza continue dei sistemi e dei servizi di elaborazione : le aziende devono mantenere aggiornati tutti i loro software e applicazioni e correggere i difetti noti della rete.
- Essere in grado di ripristinare i dati personali in caso di incidente fisico o tecnico – In sostanza, le aziende devono disporre di backup dei dati personali dei propri utenti.
- Testare, valutare e valutare regolarmente l'efficacia delle misure di sicurezza tecniche e organizzative : le aziende devono continuamente testare la propria sicurezza IT quando emergono nuove e diverse vulnerabilità.
Rousseau in realtà ha svolto un lavoro rispettabile soddisfacendo le raccomandazioni del Garante relative a questi quattro fattori. Tuttavia, il fatto che abbiano consentito al loro staff e ai membri del partito del Movimento a 5 stelle di condividere le credenziali ha reso impossibile per Rousseau conformarsi alla Sezione 4 dell'articolo 32, che richiede che "Il responsabile del trattamento e il responsabile del trattamento devono prendere provvedimenti per garantire che qualsiasi persona fisica che agisca sotto l'autorità del responsabile del trattamento o del responsabile del trattamento che ha accesso ai dati personali non li elabora se non su istruzioni del responsabile del trattamento. "
Sicurezza dei dati e conformità al GDPR
Le aziende possono evitare questo tipo di multe GDPR impedendo ai dipendenti di condividere le credenziali. L'aggiunta di crittografia aggiuntiva ai dati sensibili sarebbe un'altra. Ciò potrebbe anche favorire l'anonimizzazione dei dati di voto elettronico. Rousseau, da parte sua, afferma che intende utilizzare la tecnologia blockchain per affrontare i problemi segnalati dal Garante.
Il GDPR ha creato aspettative di sicurezza più elevate per i dati personali elaborati dalle organizzazioni. Richiede alle organizzazioni di utilizzare la crittografia avanzata, limitare l'accesso dei propri dipendenti solo ai dati personali di cui hanno bisogno per svolgere il proprio lavoro e valutare la loro sicurezza complessiva su base regolare. La sanzione contro Rousseau mostra anche che i responsabili del trattamento dei dati potrebbero essere particolarmente responsabili della conformità al GDPR in termini di sicurezza dei dati. In questo caso, il movimento a 5 stelle era il responsabile del trattamento dei dati e Rousseau era il responsabile del trattamento dei dati, ma la parte ha evitato qualsiasi sanzione. Per evitare multe per il GDPR, pertanto, i responsabili del trattamento dei dati devono anche fare attenzione a soddisfare le aspettative dell'articolo 32.
Il GDPR fa molte richieste alle aziende, ma essendo proattivo e impegnandosi, è possibile ottenere la conformità al GDPR. La nostra lista di controllo del GDPR e la nostra panoramica della legge sono ottimi punti di partenza. Se sei un'azienda negli Stati Uniti, abbiamo anche una lista di controllo per te .