Il Garante della privacy nei giorni scorsi ha bacchettato la piattaforma Rousseau, su cui gli attivisti del Movimento 5 Stelle votano programmi elettorali e altri provvedimenti. In sostanza, lo strumento digitale con cui il popolo grillino fa sentire la propria voce. Un provvedimento, quello del Garante, dalle implicazioni politiche potenzialmente dirompenti, almeno secondo il presidente dell’Istituto italiano per la privacy, Luca Bolognini.

“Quello che il Garante ha pubblicato il 21 dicembre è un provvedimento molto interessante – commenta –. Tutto è nato quest’estate. In seguito ad alcuni cyberattacchi alla piattaforma e anche su segnalazione di vari interessati, è stata avviata un’istruttoria da cui sono emersero alcune conclusioni. La prima: misure di sicurezza inadeguate in diversi siti della galassia 5 Stelle. In particolare del blog di Beppe Grillo, da questo punto di vista estremamente obsoleto”.

Significa, in pratica, che i dati personali degli iscritti, a partire dal loro nome, erano vulnerabili?

Il Garante ha segnalato bassi livelli di sicurezza, cifrature deboli sia della conservazione dei dati sui server che delle trasmissioni degli stessi. E poi la possibilità per gli utenti di utilizzare password deboli, con meno di 8 caratteri, e facilmente violabili. E ancora, inadeguate politiche di controllo degli incaricati che potevano accedere ai dati.

Ha chiesto quindi l’introduzione di protocolli più sicuri. Un esempio? Il sistema deve bloccarsi dopo tot tentativi di accesso con password sbagliata, cosa che non succedeva. Un’altra richiesta è l’introduzione di un sistema di tracciamento dei soggetti che possono operare sul database: per capire chi ha accesso ai dati e cosa fa con essi. C’è poi un secondo elemento, molto importante.

Quale?

Il Garante ha rilevato come non sia trasparente chi siano i titolari del trattamento dei dati personali degli iscritti. In due dei siti, www.beppegrillo.it e www.movimento5stelle.it e sulla piattaforma informatica https://rousseau.movimento5stelle.it è Beppe Grillo, che ha nominato l’Associazione Rousseau responsabile del trattamento. Mentre in www.blogdellestelle.it, il titolare è direttamente l’Associazione Rousseau.

Il punto, in sintesi, è che è difficile capire chi siano i titolari. Ma questo è un elemento cruciale anche politicamente, perché sono loro a decidere le finalità e le modalità del trattamento dei dati. In sostanza, sono loro ad avere il vero potere.

In riferimento a questo, ci sarebbe stata un’illecita trasmissione dei dati a soggetti terzi (Wind e Itnet srl, legate a Rousseau da un contratto per la gestione della sicurezza dei siti, ndr).

Infine, alcuni siti imponevano l’accettazione del trattamento dei dati per fini pubblicitari. In sostanza “estorcevano” agli utenti il consenso: non si può fare.

E poi c’è il tema del tracciamento dei voti degli attivisti.

Quello è un tema enorme. Sostanzialmente è emerso che i voti espressi dagli attivisti sono collegati a un numero di telefono, e quindi sostanzialmente non anonimi. Significa anche che le preferenze espresse, anche in passato, possono essere associate al singolo votante”.

Sì, però nelle associazioni “normali”, a partire dalla Pro loco, il voto non è anonimo ma palese. E con esso anche alcuni dati personali di chi vota, a partire da nome e cognome. Perché su Rousseau non si può fare?

Infatti qui il Garante dà un motivo più politico e meno giuridico. Il problema è che è la stessa Associazione Rousseau ad aver dichiarato che il voto degli attivisti è protetto da massima riservatezza. Se così non è, significa che le loro misure non sono idonee.

Quali saranno le conseguenze del provvedimento?

Il Garante si riserva di applicare sanzioni amministrative (multe fino a oltre 100mila euro, a seconda della violazione accertate, ndr). Se poi si riscontrassero violazioni penali, per esempio cessione di dati personali senza consenso od omissione delle misure minime di sicurezza, il Garante dovrà trasmettere tutto in Procura.

A mio avviso il dato politico più interessante è che, colpendo il trattamento dei dati, il Garante potrebbe aver aperto una crepa su tutta la diga, e che la diga, politicamente, potrebbe spaccarsi. In fondo, contestare chi sia il titolare del trattamento dei dati significa chiedersi chi decide politicamente nel M5S.

Ma secondo lei è tecnicamente possibile creare un sistema di democrazia diretta online che non sia esposto a questi rischi?

Il Garante ha fatto una lista di misure da adottare e sono perfettamente realizzabili: non parliamo di fantascienza né di utopia. Anzi, si sarebbero dovute adottare prima.

C’è invece un altro aspetto che il Garante non tocca e che mi aspetto che prima o poi venga affrontato: e cioè un’analisi degli algoritmi utilizzati per elaborare i dati degli iscritti. Questi algoritmi dovrebbero essere resi pubblici, perché sono in grado di profilare il comportamento degli aderenti.

Vuol dire che possono analizzare il comportamento dell’utente sul sito e decidere di comportarsi di conseguenza, per esempio, inviandogli email calibrate sul suo profilo?

Non solo. Almeno teoricamente, potrebbero fare cose più gravi. Per esempio impedirgli di votare sulla piattaforma o di candidarsi. Non sto dicendo che questo avvenga su Rousseau, ma mi interesserebbe avere dal Garante, e anche dall’Unione Europea, degli approfondimenti sugli algoritmi. Ed è un discorso che vale per tutti, non solo per i siti dei 5 Stelle.