Comitato di attivisti indice una petizione contro i diritti LGBT ma viola la privacy dei firmatari
Un comitato di attivisti che aveva indetto una petizione per opporsi ai diritti della comunità LGBT è stato multato dall’autorità per la privacy dopo che aveva lasciato i registri della raccolta firme liberamente accessibili a tutti.
È quanto accaduto in Polonia dove il comitato “Stop LGBT” aveva avviato una raccolta firme per un’iniziativa legislativa volta alla modifica di una legge riguardante proprio alcuni diritti della comunità LGBT, che si proponeva di fermare la “propaganda omosessuale nello spazio pubblico”, per rendere illegale “la promozione di orientamenti sessuali diversi dall’eterosessualità”, e dichiarare i “Pride” illegali in tutto il Paese.
A parte gli aspetti evidentemente discriminatori nei confronti della comunità LGBT, a cosa è dovuta la violazione della privacy?
Per sostenere un’iniziativa legislativa, oltre alle firme, è tipicamente necessario raccogliere dati personali quali nome, cognome, numero PESEL (il sistema universale di identificazione dei cittadini in Polonia, equiparabile al Codice Fiscale italiano) e l’indirizzo di ciascun firmatario. Inoltre, ogni pagina della lista di sostegno all’iniziativa deve includere il nome del comitato e la descrizione dell’iniziativa stessa. Si tratta quindi di un insieme di informazioni sui cittadini che, specialmente in delicati contesti di attività che riguardano le convinzioni ideologiche dei firmatari, possono anche rivelare le loro opinioni politiche e religiose, o l’orientamento sessuale. Il titolare del trattamento di questi dati, ovviamente, è il comitato di iniziativa legislativa che deve rispettare la privacy degli interessati ed è quindi responsabile degli obblighi derivanti dal GDPR.
Proprio riguardo le liste contenenti tali dati nella suddetta raccolta firme, oltre alle firme dei vari aderenti, alcuni cittadini avevano portato il caso all’attenzione dell’Autorità Garante competente, segnalando come tali moduli fossero tranquillamente accessibili a tutti senza alcun tipo di controllo da parte di personale addetto.
Oltretutto, tali moduli venivano lasciati disponibili e liberamente accessibili da chiunque in alcuni luoghi di culto di una precisa confessione religiosa della cristianità.
In pratica, oltre a tutti i dati personali contenenti e all’opinione politica facilmente deducibile da chi firmava il modulo, era possibile anche individuare il credo di appartenenza dei sostenitori della proposta.
Ovviamente il Garante polacco (UODO) ha ritenuto esserci un’evidente violazione del Gdpr da parte del titolare del trattamento all’art. 5 sezione 1 lettera f) (principio di riservatezza) e art. 5 sezione 2 (principio di accountability).
Nella decisione adottata, l’autorità ha indicato cosa fare adeguatamente in una situazione del genere. Il GDPR non contiene un elenco di raccomandazioni tecniche per tali casi. Dice però di cosa tenere conto per proteggere adeguatamente i dati affidati, soprattutto quelli sensibili.
Le persone che raccolgono le firme devono garantire un'adeguata riservatezza e sicurezza dei dati. È necessario vigilare costantemente sui dati già raccolti (cosa ovviamente non fatta visto che le liste erano in bella vista e accessibili a tutti) e tutelarli da successive firme, coprendo la parte dell'elenco già compilata con i dati personali. Secondo la normativa vigente, è perciò inaccettabile lasciare tali elenchi incustoditi.
In aggiunta alla violazione, è stato anche evidenziato che il Titolare del trattamento non ha segnalato la violazione dei dati né all’Autorità (Art.33 Gdpr) né agli interessati (Art.34 Gdpr).
