In vista delle prossime consultazioni elettorali europee, anche alla luce del nuovo quadro normativo introdotto dal Regolamento Ue in materia di protezione dei dati personali, il Garante Privacy ha approvato uno specifico provvedimento che fissa le regole per il corretto uso dei dati degli elettori da parte di partiti, movimenti politici, comitati promotori, sostenitori e singoli candidati.
Nel provvedimento, in corso di pubblicazione sulla G.U., l’Autorità si sofferma, in particolare, sull’uso di messaggi politici e propagandistici inviati agli utenti dei social network (come Facebook e Linkedin) o su altre piattaforme di messaggistica (come Skype, Whatsapp, Messenger), ribadendo che tale uso deve rispettare le norme in materia di protezione dei dati Come dimostrato da casi recenti di profilazione massiva degli elettori, è fondamentale proteggere il processo elettorale ed evitare rischi di interferenze e turbative esterne.
Queste, in sintesi, le indicazioni del Garante.
Dati utilizzabili senza consenso
Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza consenso i dati contenuti nelle liste elettorali detenute dai Comuni. Possono essere usati anche altri elenchi e registri pubblici in materia di elettorato passivo e attivo (es. elenco dei cittadini residenti all’estero aventi diritto al voto o degli elettori italiani che votano all’estero per le elezioni del Parlamento europeo) e altre fonti documentali, detenute da soggetti pubblici, accessibili da chiunque. Si possono utilizzare senza previo consenso anche i dati degli aderenti a partiti o movimenti politici o di soggetti che hanno con essi contatti regolari.
Dati utilizzabili solo con il previo consenso
E’ necessario il consenso informato invece per poter utilizzare recapiti telefonici contenuti negli elenchi telefonici e quindi per effettuare chiamate o inviare sms e mail. Obbligo di consenso anche per poter trattare i dati reperibili sul web, come, ad esempio: quelli presenti nei profili dei social network e di messaggistica; quelli ricavati da forum e blog; quelli raccolti automaticamente con appositi software (web scraping); le liste di abbonati di un provider; i dati pubblicati su siti web per specifiche finalità di informazione aziendale, commerciale o associative.
Necessario il consenso anche per i dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria.
Serve il consenso anche per l’utilizzo dei dati di persone contattate in occasione di singole specifiche iniziative (es. petizioni, proposte di legge, referendum, raccolte di firme) e di quelli di sovventori occasionali.
Chi intende utilizzare, acquisendole da terzi, liste cosiddette “consensate” (dati raccolti previa informativa e consenso), è tenuto a verificare che siano stati effettivamente rispettati gli adempimenti di legge. Lo stesso vale per i servizi di propaganda elettorale curata da terzi a favore di movimenti, partiti, candidati.
Dati non utilizzabili
Non sono in alcun modo utilizzabili i dati raccolti o usati per lo svolgimento di attività istituzionali come l’anagrafe della popolazione residente; gli archivi dello stato civile; le liste elettorali di sezione già utilizzate nei seggi; gli elenchi di iscritti ad albi e collegi professionali; gli indirizzi di posta elettronica tratti dall’Indice nazionale dei domicili digitali. Non sono utilizzabili i dati resi pubblici sulla base di atti normativi per finalità di pubblicità o di trasparenza come, ad esempio quelli presenti nei documenti pubblicati nell’albo pretorio on line; quelli relativi agli esiti di concorsi; quelli riportati negli organigrammi degli uffici pubblici contenenti recapiti telefonici ed indirizzi mail. Non si possono infine utilizzare dati raccolti da titolari di cariche elettive e di altri incarichi pubblici nell’esercizio del loro mandato elettivo o dell’attività istituzionale.
Informativa a cittadini
Gli elettori devono essere sempre informati sull’uso che verrà fatto dei loro dati personali. Se i dati sono ottenuti direttamente presso gli interessati, l’informativa va data all’atto della raccolta. Per i dati acquisiti da altre fonti è necessario che gli interessati siano informati in un tempo ragionevole al massimo entro un mese. Qualora tale adempimento sia però impossibile o comporti uno sforzo sproporzionato, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono esimersi dall’informativa, a condizione che adottino misure adeguate per tutelare i diritti e le libertà dei cittadini, utilizzando, per esempio, modalità pubbliche di informazione.
Sanzioni
Il Garante ricorda che la violazione della disciplina sui dati comporta sanzioni che possono essere anche molto onerose, come previsto dal Gdpr.
Inoltre, in ragione delle recenti modifiche introdotte dal legislatore europeo al Regolamento Ue 1141/2014 sullo statuto e il finanziamento di partiti e fondazioni politiche europee, l’Autorità europea per i partiti politici e le fondazioni politiche europee – se viene a conoscenza di una decisione di un’Autorità nazionale di protezione dati da cui sia possibile evincere che la violazione delle norme sia connessa ad attività volte ad influenzare o a tentare di influenzare l’esito delle elezioni europee – è tenuta ad avviare una procedura di verifica, all’esito della quale potranno essere applicate sanzioni pecuniarie che potrebbero ammontare, nei casi più gravi, al 5% del bilancio annuale del partito o della fondazione.