No, l’amministratore di sistema non è da dimenticare

Quick read

Con Provvedimento del 04 Aprile 2019 il Garante Italiano, ha multato l’Associazione Rousseau per 50.000 € per una violazione di dati personali.

La sanzione fa riferimento ad un provvedimento del 2017 della stessa autorità per un attacco informatico avvenuto nell’estate 2017 che aveva visto la violazione di dati personali degli iscritti di alcuni siti del movimento 5 stelle e della piattaforma di evoting Rousseau. La maggior parte delle contestazioni rivela la mancanza di un approccio volto 1) alla Responsabilizzazione del Titolare, 2) alla gestione del rischio e 3) ai principi della privacy by design (protezione dati fin dalla progettazione) e privacy by default (progettazione per impostazione predefinita).

Un provvedimento utile per confrontarsi con problematiche e debolezze comuni in molte aziende.

Close examination

Il Garante ha sanzionato l’Associazione Rousseau in seguito ad attività ispettive a partire dall’estate 2017 dove si erano rilevate diverse criticità sia tecniche che organizzative:

• Carenza nella qualità delle password, infatti la piattaforma permetteva la scelta di password banali minori di 8 caratteri e conservate in chiaro. Inoltre, la piattaforma era vulnerabile ad attacchi informatici di tipo brute force
• Mancata nomina dei responsabili esterni (Wind Tre e ITNET Srl quali rispettivamente fornitori di housing e sicurezza gestita)
• Obsolescenza della piattaforma utilizzata per la piattaforma Rousseau, che in sostanza non risultava aggiornata
• Carenze nel processo di sviluppo software
• Mancanza di un robusto sistema di log degli amministratori di sistema sul D.B. del sistema di voto
• Carenze nell’informativa data agli utenti con riferimento all’indicazione dei destinatari dei dati. Nell’informativa infatti si riportava che i dati non venivano diffusi o comunicati a terzi quando invece veniva fatto uso di Società esterne per il trattamento dati
• Carenza nella raccolta del consenso da parte degli interessati in quanto con una sola casella da “flaggare” l’utente dava il consenso a più finalità tra le quali anche attività di promozione commerciale e pubblicitaria.

La sanzione del Garante di aprile ’19 fa seguito ad ulteriori attività ispettive di aggiornamento tenendo conto dei parametri riportati all’articolo 83 del Regolamento e, nello specifico che la violazione si è protratta per un tempo significativo, interessando un numero rilevante di soggetti evidenziando il ricorso a misure tecniche e organizzative carenti.

Nella valutazione finale hanno pesato le criticità relative alla obsolescenza della piattaforma, all’utilizzo di utenze con privilegi di amministratore condivisi e alla possibilità per gli amministratori di sistema in alcuni casi di non “sfuggire” al sistema di log.

Action to do

• Analisi dei trattamenti
• Analisi della liceità
• Analisi del rischio
• Analisi delle misure di sicurezza

Riferimenti

• Registro dei provvedimenti n. 548 del 21 dicembre 2017 (doc. web n. 7400401)
• Registro dei provvedimenti n. 83 del 04 aprile 2019 (doc. web n. 9101974)