Il Garante Privacy ha approvato un provvedimento sull’uso corretto dei dati degli elettori per la propaganda elettorale in vista delle elezioni europee del 26 maggio. Il rispetto delle norme in materia di protezione dei dati è essenziale “per mantenere la fiducia dei cittadini e garantire il regolare svolgimento in tutte le fasi delle consultazioni elettorali”.
Nel provvedimento, in corso di pubblicazione sulla G.U., l’Autorità si sofferma, in particolare, sull’uso di messaggi politici e propagandistici inviati agli utenti dei social network (come Facebook e Linkedin) o su altre piattaforme di messaggistica (come Skype, Whatsapp, Messenger), ribadendo che tale uso deve rispettare le norme in materia di protezione dei dati Come dimostrato da casi recenti di profilazione massiva degli elettori, è fondamentale proteggere il processo elettorale ed evitare rischi di interferenze e turbative esterne.
Queste, in sintesi, le indicazioni del Garante.
-
Dati utilizzabili senza consenso
Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza consenso i dati contenuti nelle liste elettorali detenute dai Comuni. Possono essere usati anche altri elenchi e registri pubblici in materia di elettorato passivo e attivo (es. elenco dei cittadini residenti all’estero aventi diritto al voto o degli elettori italiani che votano all’estero per le elezioni del Parlamento europeo) e altre fonti documentali, detenute da soggetti pubblici, accessibili da chiunque. Si possono utilizzare senza previo consenso anche i dati degli aderenti a partiti o movimenti politici o di soggetti che hanno con essi contatti regolari.
-
Dati utilizzabili previo consenso
E’ necessario il consenso informato invece per poter utilizzare recapiti telefonici contenuti negli elenchi telefonici e quindi per effettuare chiamate o inviare sms e mail.
Attenzione ai dati reperiti sul web.
Sebbene risulti agevole la reperibilità di dati personali in Internet (quali recapiti telefonici o indirizzi di posta elettronica) questo non comporta la libera disponibilità degli stessi né autorizza il trattamento di tali dati per qualsiasi finalità, ma soltanto per gli scopi sottesi alla loro pubblicazione. Sarà necessario il consenso per poter trattare i dati reperibili sul web, in particolare, ad esempio:
- dati raccolti automaticamente in Internet tramite appositi software (v. c.d. web or data scraping);
- liste di abbonati ad un provider;
- dati pubblicati su siti web per specifiche finalità di informazione aziendale, comunicazione commerciale o attività associativa;
- dati consultabili in Internet solo per le finalità di applicazione della disciplina sulla registrazione dei nomi a dominio;
- dati pubblicati dagli interessati sui social network.
Inoltre, i messaggi politici e propagandistici inviati agli utenti di social network (come Facebook o Linkedin), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina in materia di protezione dei dati (artt. 5, 6, 7, 13, 24, 25 del Regolamento). La medesima disciplina è altresì applicabile ai messaggi inviati utilizzando altre piattaforme, come Skype, WhatsApp, Viber, Messanger.
Necessario il consenso anche per i dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria.
Serve il consenso anche per l’utilizzo dei dati di persone contattate in occasione di singole specifiche iniziative (es. petizioni, proposte di legge, referendum, raccolte di firme) e di quelli di sovventori occasionali.
Chi intende utilizzare, acquisendole da terzi, liste cosiddette “consensate” (dati raccolti previa informativa e consenso), è tenuto a verificare che siano stati effettivamente rispettati gli adempimenti di legge. Lo stesso vale per i servizi di propaganda elettorale curata da terzi a favore di movimenti, partiti, candidati.
-
Dati non utilizzabili
Non sono in alcun modo utilizzabili i dati raccolti o usati per lo svolgimento di attività istituzionali come l’anagrafe della popolazione residente; gli archivi dello stato civile; le liste elettorali di sezione già utilizzate nei seggi; gli elenchi di iscritti ad albi e collegi professionali; gli indirizzi di posta elettronica tratti dall’Indice nazionale dei domicili digitali.
Non sono utilizzabili i dati resi pubblici sulla base di atti normativi per finalità di pubblicità o di trasparenza. Ad esempio quelli presenti nei documenti pubblicati nell’albo pretorio on line; quelli relativi agli esiti di concorsi; quelli riportati negli organigrammi degli uffici pubblici contenenti recapiti telefonici ed indirizzi mail.
Infine, non si possono utilizzare dati raccolti da titolari di cariche elettive e di altri incarichi pubblici nell’esercizio del loro mandato elettivo o dell’attività istituzionale.
-
Informativa a cittadini
Gli elettori devono essere sempre informati sull’uso che verrà fatto dei loro dati personali. L’informativa va data all’atto della raccolta, quando i dati sono ottenuti direttamente presso gli interessati. Per i dati acquisiti da altre fonti è necessario che gli interessati siano informati in un tempo ragionevole al massimo entro un mese. Qualora tale adempimento sia però impossibile o comporti uno sforzo sproporzionato, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono esimersi dall’informativa. Ciò si potrà fare a condizione che adottino misure adeguate per tutelare i diritti e le libertà dei cittadini, utilizzando, per esempio, modalità pubbliche di informazione.
-
Sanzioni
Il Garante ricorda che la violazione della disciplina sui dati comporta sanzioni che possono essere anche molto onerose. Il Gdpr, prevede sanzioni fino a 20 milioni di euro.
Inoltre, in ragione delle recenti modifiche introdotte dal legislatore europeo al Regolamento Ue 1141/2014 sullo statuto e il finanziamento di partiti e fondazioni politiche europee, l’Autorità europea per i partiti politici e le fondazioni politiche europee – se viene a conoscenza di una decisione di un’Autorità nazionale di protezione dati da cui sia possibile evincere che la violazione delle norme sia connessa ad attività volte ad influenzare o a tentare di influenzare l’esito delle elezioni europee – è tenuta ad avviare una procedura di verifica, all’esito della quale potranno essere applicate sanzioni pecuniarie che potrebbero ammontare, nei casi più gravi, al 5% del bilancio annuale del partito o della fondazione.
(fonte Garante Privacy)