Il Garante per la protezione dei dati personali con provvedimento n. 83 del 4 aprile 2019 ha comminato all’Associazione Rousseau, quale Responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli art. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679 oltre ad ingiungere alla stessa associazione i necessari adeguamenti indicati nel Provvedimento.
Sulla base dell’esame delle informazioni acquisite in sede ispettiva e dell’analisi tecnica condotta anche sulla documentazione integrativa successivamente pervenuta (23 novembre 2018 e 10 dicembre 2018), l’Autorità, pur ritenendo che nel complesso sia stato realizzato un sostanziale innalzamento dei livelli di sicurezza dei trattamenti effettuati nell’ambito dei siti web oggetto del provvedimento del 21 dicembre 2017, ha dovuto rilevare la permanenza di importanti vulnerabilità rispetto alle quali anche in considerazione della particolare rilevanza e delicatezza della piattaforma sotto il profilo della partecipazione democratica, ha ritenuto opportuno esercitare i poteri che le sono attribuiti dal nuovo Regolamento (UE) 2016/679.
Il Garante ha accertato, stante il mancato completo tracciamento degli accessi al database del sistema Rousseau, la violazione del generale dovere di controllo sulla liceità dei trattamenti gravante sul Titolare e, in particolare, dell’obbligo di assicurare adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima. Inoltre, ha ravvisato altresì la violazione dell’obbligo di predisposizione – a carico del Responsabile del trattamento – di adeguate misure tecniche e organizzative, vista la provata condivisione delle credenziali di autenticazione da parte di più incaricati della gestione della piattaforma Rousseau, senza alcuna previsione di differenti profili di autorizzazione.
Con tale provvedimento, il Garante della Privacy offre precise raccomandazioni da seguire nello svolgimento della “Privacy Impact Assessment” (art. 35 Reg. UE 2016/679) e nell’adozione delle misure di sicurezza tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 Reg. UE 2016/679), da tenere in debita considerazione nella implementazione di piattaforme informatiche – come quella in oggetto – che per loro natura, potrebbero essere esposte ad attacchi informatici.
Di seguito il link al Provvedimento:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9101974