Il Garante per la privacy ha sanzionato con 50mila euro l’Associazione Rousseau perché, “pur avendo constatato come le attività poste in essere abbiano migliorato in modo significativo gli aspetti di sicurezza” della piattaforma del M5s, rimangono “importanti vulnerabilità rispetto alle quali l’Autorità è tenuta ad intervenire attraverso i poteri che le sono attribuiti”. Il provvedimento del Garante però riguarda le mancanze della piattaforma al 15 ottobre 2018, data fissata come termine ultimo per provvedere agli adempimenti che la stessa Autorità aveva richiesto in un precedente documento del dicembre 2017. Infatti, come si legge, le verifiche sono state effettuate il 12 e 13 novembre 2018. I risultati di quelle ispezioni vengono resi noti solo oggi, proprio mentre sono in corso le votazioni per le europarlamentarie. Dura la reazione dell’associazione, che affida la replica a un post sul Blog delle stelle: “Temiamo che ci sia un uso politico del garante della privacy e che possa risentire della sua pregressa appartenenza al Pd“.

Da allora la piattaforma Rousseau è cambiata e, come ha comunicato il presidente Davide Casaleggio, è stata appunto introdotta una nuova Area Voto. “L’infrastruttura tecnologica di Rousseau come abbiamo comunicato nei giorni scorsi è stata potenziata recependo le osservazioni del Garante e così ha risposto alla domanda di maggiore innovazione e a quella di essere uno strumento all’avanguardia in grado di soddisfare le esigenze degli utenti e delle tante attività che vengono svolte sulla piattaforma”, spiega ora Enrica Sabatini, braccio destro di Casaleggio e una dei soci dell’associazione. In pratica, sostengono da Rousseau, i rilievi che oggi vengono contestati dall’Autorità sono già stati recepiti.

Tra le righe filtra un certo fastidio soprattutto per la tempistica con cui è arrivato il provvedimento dell’Autorità di cui è presidente Antonello Soro, ex capogruppo del Partito democratico alla Camera, e sua vice è Augusta Iannini, moglie di Bruno Vespa. Un documento che era stato anticipato due giorni fa da Il Foglio e che reca la data del 4 aprile, anche se “l’accertamento ispettivo” risale al novembre scorso: è stato pubblicato mentre è in corso la votazione dei futuri candidati alle elezioni Europee del prossimo 26 maggio. Dall’associazione Rousseau però restano conviti di aver già recepito almeno gran parte dei rilievi mossi dal Garante per la privacy, per esempio cambiando il service a cui fare riferimento e investendo gran parte delle risorse proprie su queste modifiche.

Le contestazioni del Garante
Il Garante per la privacy nella sua istruttoria chiede a Rousseau di completare l’adozione delle misure di auditing informatico, provvedere ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi, entro 10 giorni, rivisitare complessivamente le iniziative di sicurezza adottate, entro 120 giorni. Infine viene richieste entro due mesi una valutazione d’impatto sulla protezione dei dati, riferita alle funzionalità di e-voting. Disposizioni che si basano sui mancati adempimenti rilevati nel novembre scorso. In particolare “il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute” configura, a giudizio del garante, “la violazione di quel generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima”. Inoltre “l’avvenuta condivisione delle credenziali di autenticazione tra più soggetti legittimati alla gestione della piattaforma” rappresentano “una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate“.

La replica del Blog delle Stelle: “Uso politico del Garante”
“Temiamo che ci sia un uso politico del Garante della privacy e che possa risentire della sua pregressa appartenenza al Pd. Il garante della privacy dovrebbe tutelare tutti, non solo le persone del suo partito”. Così l’Associazione Rousseau in un post sul blog delle Stelle. “Può il garante della privacy essere un esponente politico di un partito? Noi riteniamo di no e non ci sentiamo tutelati in alcuna maniera” aggiunge Rousseau. “Il garante ha mai controllato gli altri partiti? Il suo partito per esempio, del quale è stato presidente e capogruppo è mai stato messo sotto la lente d’ingrandimento? Ha mai controllato le primarie del suo partito? Il modo in cui vengono contati i voti e il modo in cui vengono acquisiti i dati? Le multe che sono state comminate al Pd sono proporzionali a quelle comminate a Rousseau?” chiede Rousseau al presidente Antonello Soro a cui chiede: “I dati degli iscritti al M5s di cui il garante è entrato in possesso sono stati condivisi con terzi soggetti o fatti oggetto di accesso agli atti? Tutte le nostre domande meritano una risposta”. Per il M5s “l’Autorità indipendente che si occupa della protezione dei dati personali non può più essere messa nelle mani di un uomo di partito“. Non solo: “Soro è laureato in medicina e ha fatto politica per tutta la vita. Per quali competenze è stato nominato Presidente dell’Autorità garante per la protezione dei dati personali?” chiede l’associazione che anima la piattaforma.

La nuova Area voto sulla piattaforma
Proprio due giorni fa direttamente Davide Casaleggio in un post sul Blog delle Stelle ha informato gli iscritti alla piattaforma Rousseau della inaugurazione per le votazioni per le europarlamentarie di una “nuova Area Voto, un anticipo di quello che sarà la nuova piattaforma Rousseau, sulla quale stiamo lavorando ormai da diversi mesi e che a poco a poco renderemo disponibile a tutti gli iscritti”. Sempre Casaleggio ha spiegato che “sul fronte privacy, abbiamo fatto tesoro delle osservazioni che il Garante aveva mosso in passato e siamo anche andati oltre, per garantire un alto standard di tutela per tutti gli iscritti”. “L’implementazione prevede – si legge nel post – due tabelle distinte per i voti e i votanti e avendo implementato il voto in batch, non è più necessario memorizzare alcun dato sul voto, nemmeno temporaneamente, per evitare la doppia preferenza allo stesso candidato. Tutti gli accessi admin alle macchine, infine, sono tramite Vpn e sono registrati“.

Sabatini: “Il sistema ha funzionato”
Sabatini cita per esempio l’ultima vicenda di oggi, con la denuncia in procura di alcuni profili sospetti iscritti alla piattaforma, per evidenziare che “il sistema funziona“. “E non parlo solo dell’infrastruttura tecnologica: ha funzionato il potenziamento dei processi e cioè quel sistema di segnalazione che ha consentito e consente agli iscritti di poter inviare segnalazioni documentate, utili per avere informazioni adeguate per strutturare il sistema di controllo: in pratica quello che è avvenuto oggi” afferma il braccio destro di Casaleggio. “Rousseau è un laboratorio osservato da tutto il mondo: siamo interpreti di un progetto che va oltre i confini nazionali. E sentiamo questa profonda responsabilità” commenta ancora Sabatini. “Quello che è avvenuto oggi dimostra questo: siamo pionieri ma lavoriamo con serietà e responsabilità. E’ una rivoluzione continua ma siamo protagonisti di un cambiamento che necessita anche di un tempo adeguato per essere studiato e messo a punto“, conclude.

Intanto il deputato Pd Filippo Sensi, su Twitter, annuncia un’interrogazione “sui tanti, troppi interrogativi sulla privacy della piattaforma Rousseau”. Mentre il suo collega Giacomo Portas commenta: “Ecco la grande ‘democrazia’ dei M5s, il sistema Rousseau che cade sotto il giudizio della privacy”.