GARANTE PRIVACY: sanzione emessa nei confronti del titolare della piattaforma Rousseau


Il Garante, nell’ambito della sanzione emessa nei confronti del titolare della piattaforma Rousseau, ha ribadito la natura di alcuni adempimenti riguardanti i profili di sicurezza informatica; è quanto pubblicato dal Garante Privacy con il provvedimento n. 83 del 4 aprile 2019 [doc. web n. 9101974].

Gli artt. 25 e 32 GDPR impongono misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, gravando il Titolare del trattamento della comprensione e successiva implementazione delle specifiche misure necessarie.
Queste risultano ulteriormente rilevanti nel caso in cui lo studio legale metta a disposizione dei propri clienti un’area riservata per lo scambio e la fruizione di documentazione, che sovente riguarda atti giudiziari e contiene di conseguenza dati particolari.

Con provvedimento n. 83 del 4 aprile 2019, l’Autorità Garante per la Protezione dei Dati Personali ha chiuso l’iter istruttorio relativo alla verifica degli adempimenti prescritti nei confronti del Movimento 5 Stelle, di Beppe Grillo e della piattaforma Rousseau, iniziato con provvedimento n. 548 del 21 dicembre 2017, elevando una sanzione di euro 50.000 per violazione dell’art. 32 e prescrivendo al Titolare di provvedere nei modi e nei termini già espressi.
All’esito dell’istruttoria è stato verificato che in relazione alla piattaforma informatica di proprietà del Movimento 5 Stelle ed assegnata in gestione all’Associazione Rousseau in qualità di responsabile esterno del trattamento ex art. 28, nonostante l’innalzamento dei livelli di sicurezza dei trattamenti in essere – specificamente attraverso l’esecuzione di un vulnerability assessment e la risoluzione di alcune criticità della piattaforma software – permangono importanti criticità con particolare riguardo alla tenuta dei file di log degli amministratori di sistema, alla inopportuna condivisione delle credenziali di autenticazione tra gli operatori autorizzati e alla riservatezza delle operazioni di voto elettronico.
Anche se la piattaforma Rousseau non riguarda uno studio legale, i principi espressi dalle prescrizioni emanate dall’Autorità con questo provvedimento devono essere ritenuti applicabili sull’attività posta in essere da molti studi legali che, al fine di mettere a disposizione dei propri clienti uno spazio di condivisione di atti e documenti, permettono a questi ultimi l’utilizzo di soluzioni in cloud o l’accesso a spazi condivisi sui sistemi informatici dello studio. Su queste aree i clienti possono effettuare l’upload ed il download di informazioni e file che spesso contengono dati particolari ex art. 9 GDPR.
Sia che tali spazi siano amministrati in outsourcing da aziende che offrono servizi in cloud – in relazione alle quali deve sempre essere tenuta in considerazione la disciplina relativa al trasferimento di dati personali fuori dal territorio dell’UE –, sia che si tratti di servizi resi sugli stessi sistemi informatici di studio, particolare attenzione deve essere prestata alle disposizioni di sicurezza di cui agli artt. 24, 25 e 32 del GDPR. Nello specifico, il Titolare deve sempre porre in essere ogni più idonea misura a garantire e dimostrare la conformità del trattamento e la riservatezza, l’integrità, la disponibilità e la resilienza stessa dei sistemi di trattamento, provvedendo ad adeguare le misure tecniche ed organizzative perché il livello di sicurezza possa dirsi effettivamente adeguato al rischio.

a cura di Alessandro Gargiulo

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.