Sanzione all' Associazione Russeau per la sua piattaforma. Uno spunto interessante...

Il Garante colpisce ancora!

50 mila euro di sanzione per un sistema vulnerabile.

In realtà, è già la seconda sanzione comminata all' associazione Russeau, organizzazione che gestisce, per il Movimento 5 Stelle, il sistema di voto on line, per via di un problema di vulnerabilità informatica.

Per rimanere nell'ambito del mondo politico, ricordiamo che l'ufficio del Garante sta valutando la possibilità di sanzionare anche il Partito Democratico e/o la società che gestisce il portale web della sede fiorentina del partito. Infatti, un episodio di hackeraggio subito nel 2018, ha acceso i riflettori dell' Authority sulla gestione dell'infrastruttura tecnologica dell'organizzazione. Tra le altre cose, il PD, titolare dei trattamenti dei dati, si è "dimenticato" di nominare, come responsabile esterno, la società che gestisce la piattaforma web, generando varie situazioni di illeicità nei trattamenti.  (clicca qui per leggere la pubblicazione del Garante sul PD)

Quindi, possiamo osservare come l'attenzione del Garante, si ponga sugli aspetti riguardanti, sia la conformità documentale e organizzativa, quanto quella relativa alla reale protezione, fornita ai dati dei soggetti interessati, grazie alle implementazioni di misure tecniche e organizzative, che, il titolare ed il responsabile del trattamento dei dati, sono tenuti a garantire (art. 24 e 32 del GDPR).

Di conseguenza, sarà bene attuare lo stato di conformità della propria organizzazione curando la reale protezione dei dati e non soltanto la parte formale e documentale, comunque prevista dalle normative.

Nel caso specifico della piattaforma Russeau, la situazione di persistente vulnerabilità dei sistemi, è principalmente causata dall'obsolescenza del software impiegato e dagli insufficienti sistemi di accesso  e di log management, che consentirebbero al personale dell'organizzazione di accedere ai dati degli utenti e modificarli. (clicca qui per leggere il provvedimento sull'Associazione Russeau)

Perchè nel titolo, accenno ad uno "spunto interessante"?

Lo "spunto" consiste nella presa di coscienza rispetto ad una corretta analisi dei rischi che, nell'ambito di un'analisi completa della situazione aziendale, non dovrebbe mai prescindere da una seria analisi delle vulnerabilità del sistema informatico (vulnerability assessment). Importante verificare, non soltanto server e pc, ma tutti i dispositivi connessi alla rete, dai router alle multifunzioni. C'è da considerare che il GDPR si riferisce alla protezione dei dati personali, ma garantire una piena protezione dei dati aziendali, consente di evitare fermi di produzione, furti di  informazioni aziendali importanti e conseguenti danni economici e reputazionali.

Daniele Spano

 


CONDIVIDI: