Il Garante nel provvedimento sottolinea che va esaminato con attenzione il ruolo di questi due soggetti, ovvero Wind Tre S.p.A. e ITNET s.r.l., ed evidenzia che andrebbero designati come veri responsabili del trattamento e che «la mancata designazione delle società Wind Tre S.p.A. e ITNET s.r.l. quali responsabili del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 Stelle, configura l'illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati». Da qui prende il via l'eventuale contestazione delle sanzioni amministrative.
Nel lungo provvedimento Il Garante Antonello Soro parla di «indiscutibile obsolescenza tecnica» dei siti M5S attaccati dagi hacker, di password registrate in chiaro su www.beppegrillo.it e ancora di password deboli inferiori agli otto caratteri. E si riserva di valutare sanzioni amministrative nei confronti dell'Associazione Rousseau, responsabile del trattamento dati del sito del Movimento 5 Stelle e della piattaforma Rousseau. Gli articoli del codice della privacy a cui si fa riferimento sono il 161 e il 162: «La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro» e «In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta».
La vicenda è quella delle incursioni dei pirati informatici del 3 agosto scorso, un mese prima delle votazioni online del candidato premier. «La mancata designazione delle società Wind Tre S.p.a. e Itnet S.r.l. quali responsabili del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 Stelle -si legge nel provvedimento del 21 dicembre reso noto oggi- configura l'illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati». Pertanto, l'Authority «si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per l'eventuale contestazione delle sanzioni amministrative di cui all'art. 162, comma 2bis del Codice». Nel provvedimento il Garante indica una serie di misure per aumentare il livello di sicurezza del sistema operativo, per rendere più consapevoli gli utenti dei flussi di dati personali (sia rispetto alle varie componenti della cosiddetta "galassia 5 Stelle", sia rispetto alle società esterne che svolgono ruoli di supporto tecnico), per evitare il ripetersi di episodi del tipo di quelli verificatisi.
Altro aspetto messo sotto la lente degli ispettori dell'Autorità è la questione della tracciabilità dei voti elettronici espressi dagli utenti: «Con riferimento al database Rousseau, il documento trasmesso all'Autorità recante 'Estratto delle tabelle principali di Rousseaù, ha permesso di valutare alcuni aspetti relativi alla riservatezza delle operazioni di voto elettronico svolte tramite la piattaforma; in particolare, l'esame delle predette tabelle ha mostrato come l'espressione del voto da parte degli iscritti, in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica, venga registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti».
«Nello schema del database - si legge ancora nel provvedimento - risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente al rispettivo iscritto-votante.
Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti», spiega l'Authority. «La possibilità di tracciare a ritroso il voto espresso dagli interessati - prosegue il Garante - non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell'archivio elettronico».