Elezioni e uso dei dati personali: molte le regole da conoscere
Lo scioglimento delle Camere e l’ormai certo avvio di una nuova campagna elettorale che coinvolgerà tutti gli italiani consiglia i candidati e i responsabili dei trattamenti dei dati personali che operano per i partiti o i comitati promotori dei candidati di prestare la massima attenzione al tema dell’uso e dei trattamenti dei dati personali.
(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)
La stessa cosa vale per chiunque, grandi piattaforme o fornitori di servizi on line anche improvvisati per l’occasione immaginasse di voler svolgere analisi di dati personali acquisiti o posseduti che fanno capo agli elettori per fornire ai candidati strumenti di analisi dei dati personali degli elettori utili per una campagna mirata sulla base dei loro interessi come dedotti dall’utilizzazione di strumenti di Data Analytics quali quelli resi noti qualche anno fa dallo scandalo noto come "Cambridge Analytica" che vide coinvolte anche vicende legate alla campagna presidenziale americana che condusse alle elezioni di Trump.
Sono due tematiche diverse fra loro ma che è bene tenere presenti anche in questa fase della vita pubblica italiana.
Cominciamo dal tema relativo all’uso di dati personali di elettori finalizzato a comunicare con essi da parte dei candidati nell’ambito di una campagna elettorale nella quale un candidato che voglia raggiungere personalmente il più alto numero di elettori possibili, di norma con l’invio al loro indirizzo di messaggi di propaganda elettorale mirati.
Il punto focale di questa problematica, che non a caso ha occupato a più riprese il Garante per la protezione dei dati personali fin dal primo provvedimento adottato ancora sotto la Presidenza Rodotà nel 2004, riguarda le condizioni che devono sussistere affinché l’uso degli indirizzi dei destinatari possa essere considerato legittimo e lecito alla luce della normativa di tutela dei dati personali quali certamente sono quelli relativi agli indirizzi dei singoli elettori.
Affermando la consapevolezza che le iniziative relative alla campagna elettorale intraprese da partiti, organismi politici, comitati promotori, sostenitori e singoli candidati sono essenziali per la vita democratica del Paese, già all’epoca il Garante sentì l’esigenza di ribadire che i comportamenti relativi devono però rispettare i diritti e le libertà fondamentali delle persone alle quali si riferiscono le informazioni utilizzate.
Il punto nodale messo in rilievo fin dal provvedimento del 2004 riguardò la necessità o meno di ottenere il previo consenso degli interessati prima di utilizzare i loro indirizzi e i casi in cui invece gli indirizzi potevano essere acquisiti da fonti pubbliche e utilizzati solo sulla base di una adeguata informativa da fornire comunque sempre agli interessati comprendente anche i modi e i mezzi per opporsi al trattamento.
Nel provvedimento del 12 febbraio 2004, relatori Santaniello e Paissan, venne chiarito che “è possibile utilizzare dati personali senza il consenso degli interessati per la propaganda elettorale solo se i dati sono estratti da fonti “pubbliche” nel senso proprio del termine, ovvero conoscibili da chiunque senza limitazioni”.
Si specificava inoltre che “questa ipotesi ricorre quando si utilizzano registri, elenchi, atti o documenti che sono detenuti da un soggetto pubblico e al tempo stesso sono accessibili liberamente -senza discriminazioni- in base a una espressa disposizione di legge o di regolamento”.
Si precisava inoltre, a maggior chiarimento, che se non ricorre questa condizione, l’amministrazione o l’ente pubblico che detiene i dati non può permetterne l’uso a partiti, forze politiche, o candidati, dovendo usare i dati solo per svolgere funzioni istituzionali e osservando i presupposti e i limiti stabiliti caso per caso da norme generali o speciali…, che a volte rendono i dati “pubblici” solo per permetterne l’uso per alcune finalità.
Proprio su questa base, il provvedimento precisa che possono essere utilizzate per la campagna elettorale:
a) le c.d. “liste elettorali” (ovvero le liste degli aventi diritto al voto tenute presso i comuni)
b) gli elenchi di iscritti ad albi e collegi professionali e i dati contenuti in alcuni registri delle camere di commercio”, ma sempre ovviamente nell’ambito delle finalità specifiche previste dalla legge;
c) altri elenchi o registri in materia di elettorato attivo o passivo”
Il provvedimento contiene poi un dettagliato elenco delle fonti utilizzabili, ovviamente sulla base delle leggi in vigore nel 2004.
Inoltre, e la cosa è particolarmente importante, il provvedimento specificava che chi usa “fonti pubbliche” deve prestare attenzione per assicurarsi di rispettare le modalità previste per l’accesso a tali fonti, soprattutto, se vi sono finalità specifiche per le quali tali fonti sono accessibili al pubblico, essendo evidente che se le finalità sono specificate e tra di esse non è ricompresa la comunicazione elettorale esse non possono essere usate a tale scopo.
Per ulteriore chiarezza, il provvedimento del 2004 elencava anche fonti pubbliche i cui dati non potevano essere usati per propaganda elettorale, quali, ad esempio, i dati anagrafici e dello stato civile.
Per completezza, il punto 4 di quel provvedimento già specificava che in tutti gli altri casi i dati personali non potevano essere usati per campagna elettorale senza il consenso dell’interessato. Consenso che doveva essere dato in forma scritta e basato su una informativa che specificasse anche i mezzi usati per le propaganda rispetto alla quale si chiedeva il consenso.
Il provvedimento specificava inoltre che senza il consenso esplicito e preventivo anche le chiamate telefoniche erano da considerarsi illecite così come è illecito l’invio per posta elettronica utilizzando indirizzi ottenuti senza adeguata informazione e comunque senza avere un consenso specifico e informato all’uso per finalità elettorali.
Merita ancora ricordare che quel provvedimento specificava anche che senza consenso era (ed è) illecito l’uso di indirizzi acquisti sul web così come quelli di iscritti ad associazioni o partiti politici così come quelli di iscritti ad associazioni non politiche.
A maggiore chiarimento di specificava anche che gli indirizzi di iscritti ad associazioni sindacali, professionali, sportive o di categoria è possibile solo se espressamente previsto dall’ordinamento interno e le modalità di utilizzo sono compatibili con gli scopi principali dell’associazione, ovvero quando tale utilizzo sia espressamente previsto nell’ informativa resa agli iscritti all’atto dell’adesione o del rinnovo.
Particolarmente importante, poi, il contenuto di quel provvedimento relativamente ai dati personali utilizzabili da chi li avesse acquisiti nel corso del suo mandato, come può essere frequente nelle competizioni elettorali con candidati che si presentano per un nuovo mandato elettorale.
Specificava già quel provvedimento che i dati personali acquisiti nel corso di un mandato possono essere utilizzati solo per gli scopi connessi al mandato stesso e dunque non, senza un consenso esplicito sulla base di una adeguata informativa, per la campagna elettorale. Solo i dati personali acquisiti a seguito di rapporti personali fra titolare interessato potevano essere utilizzabili, sempre ovviamente a seguito di adeguata informativa.
Un altro punto specifico di grande interesse contenuto in quel provvedimento riguardava i dati acquisiti dal candidato presso terzi. Il punto essenziale era ed è che spetta comunque al titolare del trattamento, e dunque all’acquirente, verificare la utilizzabilità dei dati acquisiti e in particolare che chi li ha acquisiti abbia ottenuto un adeguato consenso espresso sulla base di una completa informativa circa l’utilizzo dei dati anche a fini elettorali e anche da parte di terzi.
Particolare rilevanza era data in quel provvedimento all’obbligo di informativa sull’uso dei dati personali da dare agli interessati. Un punto questo considerato dal Garante di tale importanza che il provvedimento conteneva anche una sorta di facsimile di informativa utilizzabile anche su siti web e in modalità digitale con la specificazione che la informativa deve contenere anche le modalità da seguire da parte dell’interessato per esercitare i suoi diritti nei confronti dell’interessato. Particolare attenzione era data poi alle misure di sicurezza da adottare da parte del titolare e sulle possibilità di conservare i dati anche dopo la scadenza della prova elettorale.
Due punti esaminati con attenzione a dimostrazione dell’importanza data dal Garante di allora a questa tematica.
Merita dire che il tema qui esaminato è stato trattato costantemente dai Garanti che si sono succeduti e che hanno tutti provveduto a rinnovare le prescrizioni o ad approfondirle in occasione di prove elettorali svoltesi durante il loro mandato. Merita citare a questo proposito il provvedimento del Garante presieduto da chi scrive adottato il 7 settembre 2005 che, al fine di fornire indicazioni chiare e facilmente percepibili, fu redatto nella modalità del “decalogo”, distinguendo esplicitamente tra dati “utilizzabili senza consenso” (ma sempre con adeguata informativa) e dati “utilizzabili previso consenso”. Inoltre, un paragrafo apposito era dedicato a indicare il contenuto dell’informativa, anche in questo caso riportando nel documento un facsimile di informativa.
Di particolare importanza poi è il provvedimento in materia di propaganda elettorale e comunicazione politica adottato il 18 aprile 2019 dal Collegio presieduto dal Antonello Soro, che è il primo a tenere conto del contenuto del GDPR e delle dichiarazioni dello EDPB del 13 marzo 2019 sull’uso di dati personali nel corso di campagne politiche, adottato il 13 marzo 2019.
Questo documento, per ora ultimo pronunciamento del Garante in materia, è caratterizzato da un tono particolarmente “severo” sulla importanza del rispetto della normativa di protezione dei dati personali nelle campagne elettorali giacché inizia col ricordare che rispettare la tutela dei dati personali è essenziale per incrementare la fiducia dei cittadini nelle consultazioni elettorali cosicché sono, a parere del Garante, più che giustificate le sanzioni pecuniarie particolarmente severe che il Regolamento n.1141 UE del 22 ottobre 2014, relativo allo statuto e al finanziamento dei partiti politici europei e delle fondazioni politiche europee ha previsto e che possono arrivare a 20 milioni di euro. In questo quadro, il Garante presieduto da Soro sente la necessità di richiamare l’attenzione sui principali casi in cui possono essere utilizzati dati personali di interessati per motivi di propaganda elettorale. Il provvedimento è molto puntuale nel richiamare i presupposti di liceità dei trattamenti che non richiedono il consenso ma anche le modalità con le quali, quando richiesto, il consenso deve essere acquisito.
Ampio è lo spazio dedicato a definire i casi in cui è ravvisabile il legittimo interesse e altri presupposti di liceità del trattamento. Ovviamente nell’ampliare i casi di liceità per legittimo interesse del titolare (e cioè del candidato) si precisa sempre che è necessario comunque un esame attento finalizzato ad accertare che in concreto non prevalgano invece sui diritti e le libertà fondamentali dell’interessato.
Il provvedimento richiama implicitamente il contenuto delle precedenti decisioni del Garante e ribadisce che 1) fonti pubbliche “I dati personali estratti da fonti pubbliche – vale dire le informazioni contenute in registri o elenchi detenuti da un soggetto pubblico, e al tempo stesso accessibili in base a una espressa disposizione di legge o di regolamento - possono essere utilizzati per finalità di propaganda elettorale e connessa comunicazione politica, senza richiedere il consenso egli interessati nel rispetto dei presupposti, dei limiti e delle modalità eventualmente stabilite dall’ordinamento per accedere a tali fonti o per utilizzarle.” Specifica poi il provvedimento una serie di elenchi i cui dati possono essere utilizzati per finalità di campagna elettorale e specifica in modo chiaro che possono essere usati anche i dati degli aderenti e dei soggetti che hanno contatti regolari con partiti e organizzazioni a carattere politico.
Di grande interesse, anche se ricalca linee già presenti in provvedimenti precedenti, la parte relativa si dati raccolti e messi a disposizione da terzi, ivi comprese le c.d. “liste consensate”.
Ribadisce tuttavia che gli interessati acquirenti dovranno verificare essi stessi della corretta raccolta dei dati in base a informative adeguate, Molto interessante che questo provvedimento, al contrario dei precedenti, indica anche modalità specifiche, e in qualche caso semplificate, per porre in essere tale verifica, distinguendo tra banche dati di modeste dimensioni e banche dati più consistenti.
Nuovo e di particolare interesse, è il capo sui servizi di propaganda elettorale e di comunicazione politica curati da terzi. L’interesse riguarda in particolare la sottolineatura relativa al fatto che, a seconda dei rapporti coi titolari, i terzi possono operare come contitolari o responsabili, con le conseguenti rilevanti differenze in ordine alle responsabilità e ai rapporti con gli interessati nei due casi.
Rispetto ai dati raccolti da titolari di cariche elettive e di altre funzioni pubbliche il provvedimento ribadisce sostanzialmente gli orientamenti già espressi nei provvedimenti precedenti.
Innovativa invece la parte relativa ai dati accessibili sugli elenchi telefonici, perché il provvedimento tiene conto della normativa elativa al Registro pubblico delle Opposizioni anche se esplicitamente sottolinea che essa non si applica all propaganda elettorale perché questa ha sue evidenti specificità che non consentono la sovrapposizione con le finalità di marketing. Di conseguenza anche su questo punto non vi sono significative novità e resta fermo che sia i dati acquisibili sugli elenchi telefonici che quelli acquisibili sul web richiedono il consenso dell’interessato per poter essere utilizzati anche a fini di campagna elettorale o comunicazione politica. Il che ne impedisce appunto l’utilizzazione se non si è in possesso di uno specifico preliminare consenso informato.
Il consenso informato è necessario anche per i dati acquisiti sui social, ma per questi è necessario anche rispettare ulteriori regole indicate dal provvedimento, quali il divieto di messaggi notturni o comunicazioni che mirino ad acquisire informazioni personali eccedenti non pertinenti con la comunicazione politica.
Si ribadisce anche che la raccolta di dati presso l’interessato richiede una informativa ampi ed esaustiva circa le caratteristiche del trattamento e che in ogni caso l’interessato può revocare in qualunque momento il consenso.
Di particolare interesse, anche per quanto sottolinea lo stesso Garante, è il paragrafo relativo alle sanzioni dove si specifica che in caso di violazione delle regole indicate si applica il quadro sanzionatorio dell’art. 83 del GDPR fermo restando che le sanzioni pecuniarie possono arrivare fino a 20 milioni di euro o anche fino al 5% del bilancio annuale del partito o della fondazione interessate dalla violazione, così come prevede il Regolamento europeo sugli statuti e i finanziamento dei partiti politici europei e delle fondazioni.
Questo rapido e sintetico excursus sui provvedimenti adottati negli anni dal Garante e dai diversi collegi che si sono succeduti ci dice che il tema delle consultazioni elettorali e dell’uso dei dati personali nelle campagne elettorali è particolarmente rilevante ed estremamente sensibile per le Autorità di protezione dei dati personali.
A questo quadro andrebbe poi aggiunto quanto ci ha insegnato la vicenda di Cambridge Analytica, basata proprio su una raccolta di dati personali senza adeguata informativa né agli utenti di Facebook né agli utenti dei siti connessi e resi accessibili dai singoli utenti di Facebook. Cambridge Analytica è una vicenda molto nota soprattutto per l’uso fatto utilizzando strumenti raffinati quanto occulti di data analysis tenuti nascosti agli utenti ai quali i dati si riferivano, ed è infatti su questo punto, ben più che sulle fake news, che i sono basati i provvedimenti sanzionatori delle Autorità, fra le quali anche quella italiana col provvedimento del 10 gennaio 2019 con il quale il Garante, dopo aver già comminato con altro provvedimento una sanzione a Facebook di un milione di euro ha vietato allo stesso social la conservazione e l’ulteriore trattamento dei dati acquisiti mediante il prodotto “Candidati” nonché ogni trattamento dei dati e delle informazioni espresse dagli utenti, anche mediante l’azione di condivisione su sollecitazione del messaggio del 4 marzo 2018.
In sostanza quello che è certo è che le campagne elettorali coinvolgono a fondo la normativa sulla protezione dei dati personali, tanto più che ogni volta i casi si moltiplicano, così come ogni campagna elettorale ha finora spinto i Garanti ad adottare provvedimenti specifici che, come si è visto, costituiscono ormai una cospicua normativa parallela che è necessario conoscere per applicare correttamente il Gdpr anche ai trattamenti dei dati relativi alle campagne elettorali.