Votare elettronicamente a norma privacy è possibile? Sicurezza nei processi di voto elettronico e online voting, come garantirla?
Lo spiega Graziano Garrisi, Responsabile Area Privacy di LiquidLaw, ai microfoni di ELIGO eVoting
L’adozione di un sistema di voto elettronico (eVoting) e online (iVoting) sicuro, semplice e intuitivo, che sia capace di rispondere e adattarsi alle esigenze di qualsiasi organizzazione – pubblica o privata – che voglia organizzare al meglio la propria vita democratica interna, è da sostenere attivamente.
Si pensi, ad esempio, ai benefici, in termini di innovazione e ottimizzazione dei tempi di gestione ma anche e soprattutto in termini di trasparenza, che potrebbero trarre un’università impegnata in processi complessi come le elezioni del Rettore, quelle dei rappresentanti degli studenti in Senato accademico, per citarne alcune, oppure un’azienda, dislocata in diversi distretti, alla ricerca di soluzioni flessibili che assicurino il coinvolgimento e la partecipazione a votazioni e/o assemblee dei propri soci.
Una piattaforma di voto elettronico, tuttavia, non deve semplicemente funzionare, ma deve funzionare a norma. Le normative di riferimento, in questo caso, sono diverse. Tra le più importanti ricordiamo quella in tema di protezione dei dati personali e la disciplina della trasparenza.
Cosa c’entra il voto elettronico con il Gdpr?
Un sistema di voto elettronico è finalizzato a permettere l’espressione del voto e il relativo conteggio delle preferenze attraverso tecnologie elettroniche e informatiche.
Per l’erogazione del servizio di votazione online, infatti, il sistema lavora, in genere, con un’anagrafe di elettorato centralizzata. Per questo motivo, l’utilizzo di una piattaforma informatica che consente lo svolgimento delle votazioni interamente online fa sorgere anche un “trattamento” di dati personali di tutti gli elettori ammessi alla votazione.
Quali sono questi dati? Nome, cognome, e-mail, cellulare, codice fiscale o codici univoci associati ai singoli elettori, il che obbliga il Titolare del trattamento (utilizzatore della piattaforma) al rispetto di tutte le norme in materia di protezione dei dati (Reg. UE 2016/679 e D.Lgs. 196/2003 e s.m.i.) e, in particolare, del principio di finalità e trasparenza, nonché di quello di minimizzazione, di cui all’art. 5 del Regolamento UE 2016/679 (GDPR). L’art. 5 del GDPR prevede che i dati debbano essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, vale a dire che si possono utilizzare solo i dati indispensabili per il corretto funzionamento del sistema.
Trasparenza nel voto elettronico
Per garantire la trasparenza nei confronti degli interessati – essendo questo uno dei principi generali di cui all’art. 5 del GDPR – la piattaforma deve fornire agli utenti e votanti tutte le informazioni previste dall’art. 13 del GDPR e, quindi chiarire chi è:
- il Titolare
- il Responsabile del trattamento (in genere il gestore della piattaforma attraverso la quale viene erogato il servizio di voto elettronico)
- i rispettivi DPO (laddove presenti).
Inoltre, la piattaforma deve esplicitare finalità, basi giuridiche, soggetti terzi ai quali i dati possono essere comunicati e tempi di conservazione. Tali informazioni possono essere fornite attraverso la piattaforma stessa, mettendo a disposizione – in una specifica pagina web – un’informativa privacy che l’utente potrà visionare al primo accesso o registrazione. È opportuno, inoltre, che tale informativa sia personalizzabile da ogni organizzazione che utilizza la piattaforma del fornitore.
Garanzia di sicurezza nel processo di voto elettronico
La sicurezza nei processi di voto elettronico rappresenta uno snodo davvero importante, motivo per il quale l’argomento anima alquanto il dibattito intorno a questa modalità di voto. Pertanto, in questo paragrafo dedicato cercheremo di fare un po’ di chiarezza, avvalendoci del quadro normativo di riferimento.
L’art. 5 del GDPR (lett. f) stabilisce, infatti, che i dati personali devono essere trattati in modo da garantire un’adeguata sicurezza, tramite appropriate misure tecniche e organizzative, allo scopo di prevenire trattamenti non autorizzati o illeciti, perdita, distruzione o danni accidentali («integrità e riservatezza»).
È necessario, pertanto, che la piattaforma consenta il rispetto dei tre requisiti generici di sicurezza, vale a dire:
- “riservatezza”, poiché il voto è segreto (art. 48 della Costituzione italiana);
- “integrità”, perché l’alterazione delle votazioni creerebbe un danno non indifferente;
- “disponibilità” dei dati, intesa come conservazione delle risultanze delle votazioni.
Requisiti della piattaforma di voto elettronico
L’art. 32 del GDPR elenca, nello specifico, una serie di misure che, in base alla delicatezza dei dati, dovrebbero essere garantite da una piattaforma di voto elettronico. Essenziale, quindi, è l’adozione di tecniche di cifratura e/o pseudonimizzazione, capacità di garantire e assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, oltre che la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
La piattaforma deve possedere almeno gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al mantenimento e al ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi.
Inoltre, la piattaforma deve garantire:
- misure di sicurezza logica (quali i Firewall),
- sistemi di backup dei dati e Disaster Recovery,
- sistemi di autenticazione almeno a due fattori,
- l’utilizzo della crittografia.
Oltre a ciò – in nome della piena segretezza del voto – non deve essere registrato o memorizzato alcun legame tra voto espresso e votante. Il sistema, infatti, non deve tracciare le preferenze di voto indicate dal votante. Tuttavia, esso deve poter tracciare alcune azioni per ciascun utente che accede al sistema, come:
- Data e ora dell’accesso alla cabina di voto,
- Verifica del diritto di voto,
- Data e ora di invio della OTP per accedere,
- Data e ora di invio via e-mail email/pec del certificato di avvenuta votazione,
- Data e ora di uscita dal sistema di voto).
Sono tutte informazioni utili e dirette all’accountability della piattaforma.
Tutte le comunicazioni tra l’area riservata della piattaforma e tra l’elettore e il sistema di voto centrale devono anche essere crittografate tramite connessione cifrata su protocollo https (certificato SSL), mediante certificato digitale almeno a 256 bit. Per di più, il sistema di voto deve possedere elevati criteri di sicurezza, necessari per garantire il migliore funzionamento e la protezione da attacchi malevoli esterni. Devono viaggiare su canali sicuri (di tipo https) anche tutte le comunicazioni da e verso i server di front-end.
Altra misura necessaria è che i dati relativi alle preferenze espresse (quindi i “voti”) devono essere mantenuti, in modalità crittografata, all’interno di un apposito database, impedendone leggibilità e alterazione, con tecniche in grado di prevenire la possibilità di modifica dei dati. Analogamente, anche le password assegnate agli elettori devono essere mantenute in maniera protetta e crittografata in uno specifico data base.
Per garantire la disponibilità dei dati e consentire anche la restituzione degli stessi all’organizzazione, la piattaforma di voto deve avere una copia di backup in locale e, una volta terminata la votazione e restituiti i dati all’organizzazione titolare del trattamento, dovrà procedere alla cancellazione entro un congruo periodo di tempo.
Ruoli privacy nel voto online
La regolamentazione dei ruoli privacy è una fase dalla quale non si può prescindere. In genere, il soggetto/organizzazione che decide di svolgere le votazioni on line – che si tratti di una PA, un’impresa, un’associazione, etc – riveste il ruolo di titolare del trattamento, mentre il fornitore della piattaforma di voto è responsabile del trattamento nonché amministratore di sistema. Questo implica anche il rispetto dello specifico provvedimento del Garante in materia, mediante tracciatura delle azioni compiute dalle figure che ricoprono il ruolo di Amministratore di sistema.
Il rapporto tra questi due soggetti deve essere regolato da un contratto oppure da un altro atto giuridico – la c.d. nomina a responsabile del trattamento – che vincoli il responsabile al titolare e che preveda una serie di cautele e istruzioni per un corretto e sicuro trattamento dei dati, previsto dall’art. 28 del GDPR. In caso di mancata nomina o poca chiarezza nella stessa, il Garante potrà sanzionare sia il committente/Titolare che il fornitore/Responsabile.
Conclusione: 5 requisiti della piattaforma di voto elettronico
Alla luce di quanto sinora argomentato, possiamo affermare che una piattaforma di voto elettronico deve possedere e garantire almeno i seguenti requisiti:
- riservatezza del processo di voto (non deve essere registrato o memorizzato alcun legame tra voto espresso e votante);
- rispetto delle misure di sicurezza del sistema informatico utilizzato per il voto elettronico;
- trasparenza nei confronti dell’interessato (con specifiche informative privacy);
- regolamentazione dei ruoli tra gli attori coinvolti (titolare, responsabile ed eventuali sub-responsabili);
- rispetto del principio di minimizzazione e delle richieste di esercizio dei diritti degli interessati.