C’è una critica molto pesante nel provvedimento del Garante Privacy sulla piattaforma Rousseau del M5S. E non è la sanzione l’aspetto rilevante (anzi essa risulta piuttosto marginale) rispetto a quanto rilevato considerata la natura del dato personale trattato.
Prima di tutto non posso che complimentarmi con l’Authority per l’analisi approfondita e rilevante su una questione delicatissima.
Il passaggio cruciale nel provvedimento del Garante Privacy su Rousseau
Da leggere e rileggere con attenzione questo importante passaggio:
“Sulla base delle evidenze descritte al par. 2.2, non può ritenersi che la mera rimozione del numero telefonico, a fronte della presenza di un altro identificativo univoco dell’iscritto, possa essere considerata quale misura coerente con gli obiettivi di protezione dei dati personali che si intendevano promuovere.
Tale circostanza, unitamente a quanto rilevato in materia di auditing informatico (cfr. par. 2.1 e 3.3) evidenzia che le misure adottate, consistenti in procedure organizzative o comunque non basate su automatismi informatici, lasciando esposti i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva c.d. “certificazione” dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline), non garantiscano l’adeguata protezione dei dati personali relativi alle votazioni online.
A ciò si aggiunge che la rilevata assenza di adeguate procedure di auditing informatico, escludendo la possibilità di verifica ex post delle attività compiute, non consente di garantire l’integrità, l’autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting (almeno sulla base degli standard internazionali comunemente accettati)”.
Una lezione di democrazia digitale
In poche parole il Garante ci insegna elementi essenziali di e – democracy e dalla lettura dell’intero provvedimento si può comprendere come procedere con attenzione nello sviluppo di una PIA.
Spero che questo insegnamento possa quindi aprire la strada verso una riflessione coerente e accorta sui limiti innati (e attualmente insuperabili) del voto elettronico (almeno per le soluzioni totalmente on line) e possa essere da monito anche per lo stesso M5S, perché – se il Movimento crede davvero, come sostiene, nella democrazia diretta – allora deve avere inevitabilmente come bussola costante del suo operato le garanzie fondamentali dell’interessato elettore nel momento in cui esprime una preferenza, che sia voto o semplice sondaggio (considerata la particolare delicatezza dei dati trattati).