IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito «Regolamento»);
Visto il decreto legislativo 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE»;
Visto il codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito «Codice»);
Visti gli articoli 57, par. 1, lettera b) e d) del regolamento e 154, comma 1, lettera f) e g) del codice in merito al compito attribuito al Garante di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, nonche' agli obblighi imposti ai titolari ed ai responsabili del trattamento;
Vista la dichiarazione 2/2019 del Comitato europeo per la protezione dei dati personali sull'uso di dati personali nel corso di campagne politiche, adottata il 13 marzo 2019;
Esaminata la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
Premesso:
1. Finalita' del provvedimento.
Le iniziative di propaganda elettorale e di comunicazione politica, collegate a consultazioni elettorali o referendarie o alla selezione di candidati alle elezioni, costituiscono un momento particolarmente significativo della partecipazione alla vita democratica (art. 49 Cost.).
Il rispetto delle norme in materia di protezione dei dati, in tale contesto, e' pertanto essenziale per mantenere la fiducia dei cittadini e garantire il regolare svolgimento in tutte le fasi delle consultazioni elettorali.
Anche per tali ragioni, in considerazione dei potenziali rischi che l'uso illecito dei dati personali puo' comportare per i processi elettorali e la democrazia, lo stesso legislatore europeo ha di recente previsto «sanzioni pecuniarie nei casi in cui i partiti politici europei o le fondazioni politiche europee sfruttino le violazioni delle norme in materia di protezione dei dati al fine di influenzare l'esito delle elezioni del Parlamento europeo» (v. regolamento UE, Euratom n. 1141/2014, del 22 ottobre 2014, relativo allo statuto e al finanziamento dei partiti politici europei e delle fondazioni politiche europee, come modificato dal regolamento UE, Euratom 2019/493 del 25 marzo 2019).
Pertanto, in vista delle prossime consultazioni, anche alla luce del nuovo quadro normativo introdotto dal regolamento e dal codice, il Garante invita tutti i soggetti, a vario titolo coinvolti nel contesto delle elezioni e delle campagne politiche, alla puntuale osservanza dei principi vigenti in materia di protezione dei dati ed evidenzia la necessita' di garantire agli interessati l'esercizio dei propri diritti (articoli 5; 15-22, regolamento).
Inoltre, il Garante richiama l'attenzione sui principali casi nei quali partiti, organismi politici, comitati di promotori e sostenitori nonche' singoli candidati, possono utilizzare i dati personali degli interessati per iniziative di propaganda nel rispetto dei diritti e delle liberta' fondamentali degli interessati (art. 1, par. 2, regolamento). Di seguito sono evidenziati, distintamente ai paragrafi 2 e 3, i presupposti di liceita' del trattamento dei dati nell'ambito dell'attivita' elettorale (consenso, legittimo interesse e altri presupposti).
2. Presupposti di liceita' del trattamento: dati utilizzabili con il consenso.
In linea generale, il trattamento dei dati nell'ambito sopra descritto puo' essere effettuato, a garanzia dei diritti e delle liberta' degli interessati, sulla base di alcuni presupposti di liceita', fra i quali la previa acquisizione del consenso di quest'ultimi, che deve essere libero, specifico, informato e inequivocabile (articoli 6, par. 1, lettera a) e 7, regolamento), nonche' esplicito ove il trattamento riguardi categorie particolari di dati (art. 9, par. 2, lettera a), regolamento).
Il consenso pertanto deve essere richiesto con formulazione specifica e distinta rispetto alle ulteriori eventuali finalita' del trattamento, quali, ad esempio, quelle di marketing; di profilazione; di comunicazione a terzi per le loro finalita' promozionali oppure di profilazione di tali distinti soggetti. Lo stesso inoltre deve essere documentabile (ad es. per iscritto o su supporto digitale), ossia il titolare deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei suoi dati (v. articoli 5, par. 2 e 7, par. 1, regolamento).
Di seguito sono evidenziati i casi in cui e' possibile trattare i dati degli interessati, con il consenso di cui sopra:
A) iscritti ad organismi associativi a carattere non politico
Enti, associazioni ed organismi (ad es. associazioni sindacali, professionali, sportive, di categoria, etc.) che non perseguono esplicitamente scopi di natura politica, possono trattare i dati dei propri iscritti per realizzare iniziative di propaganda elettorale e connessa comunicazione politica - in qualita' di titolari del trattamento - soltanto qualora acquisiscano il consenso dell'interessato, e previa indicazione in modo chiaro nell'informativa dell´intenzione di utilizzare i dati personali degli aderenti al predetto scopo (articoli 6, par. 1, lettera a); 9, par. 2, lettera a) e 13 regolamento).
In ragione di quanto sopra, l´informativa deve essere predisposta in modo tale da lasciare agli aderenti la possibilita' di fornire o meno, in piena liberta' e consapevolezza, consensi specifici, autonomi e differenziati rispetto alle ordinarie finalita' perseguite dal titolare, volti a permettere l´utilizzo delle informazioni che li riguardano in relazione alla ricezione di materiale propagandistico o politico, o anche alla comunicazione a terzi dei propri dati personali per le medesime finalita'.
Al riguardo, si ribadisce, l'illiceita' della prassi seguita da parte di soggetti appartenenti ad associazioni, o addirittura da parte di soggetti estranei ad esse, che si candidano a elezioni politiche o amministrative, di acquisire e utilizzare - in assenza di uno specifico ed informato consenso degli interessati - gli indirizzari in possesso dell´associazione, per iniziative di propaganda elettorale e connessa comunicazione politica.
Enti, associazioni ed organismi non sono tenuti, invece, a richiedere il consenso degli interessati qualora tra i propri scopi statutari figuri anche il diretto perseguimento di finalita' di propaganda elettorale e connessa comunicazione politica (v. articoli 6, par. 1, lettera f) e 9, par. 2, lettera d) regolamento) e a condizione che tali finalita', e le modalita' di contatto utilizzabili (ad es. sms, e-mail, etc.), siano previste espressamente nello statuto o nell´atto costitutivo e siano rese note agli interessati all´atto dell´informativa ai sensi dell´art. 13 del regolamento (in relazione a tale presupposto di liceita', v., piu' diffusamente, infra par. 3).
B) Simpatizzanti, persone contattate in occasione di singole iniziative, sovventori.
I dati personali raccolti da partiti, movimenti e altre formazioni a carattere politico, nonche' da singoli candidati, in occasione di specifiche iniziative (petizioni, proposte di legge, richieste di referendum, raccolte di firme o di fondi, etc.) possono essere utilizzati solo con il consenso esplicito degli interessati e a condizione che nell´informativa rilasciata all´atto del conferimento dei dati siano evidenziate con chiarezza le ulteriori finalita' di propaganda elettorale e connessa comunicazione politica perseguite (art. 9, par. 2, lettera a), regolamento).
Il consenso al trattamento, invece, non e' richiesto (art. 9, par. 2, lettera d), regolamento) qualora il sostegno fornito ad una determinata iniziativa in occasione del conferimento dei dati comporti una particolare forma di «adesione» al soggetto politico e al suo programma, tale per cui, in base allo statuto, all´atto costitutivo o ad altro preesistente complesso di regole, l'interessato potra' essere successivamente contattato in vista di ulteriori iniziative compatibili con gli scopi originari della raccolta (ad es. di comunicazione politica o propaganda elettorale, art. 5, par. 1, lettera b) regolamento). Tali circostanze dovranno essere adeguatamente evidenziate a mezzo dell'informativa.
3. Legittimo interesse e altri presupposti di liceita' del trattament.
Possono essere utilizzati per finalita' di propaganda elettorale e connessa comunicazione politica i dati personali il cui trattamento e' necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le liberta' fondamentali dell'interessato (art. 6, par. 1, lettera f), regolamento).
Rientrano in tali ipotesi di bilanciamento alcune disposizioni della previgente disciplina che non sono state espressamente richiamate dal decreto legislativo n. 101/2018, in quanto assorbite dalle norme introdotte dal regolamento europeo.
Si fa in particolare riferimento a quelle che individuavano tra i presupposti di legittimita' i trattamenti di dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (art. 24, comma 1, lettera c), decreto legislativo n. 196/2003, v. nel dettaglio infra punto A), nonche' quelli effettuati da associazioni, enti, organismi senza scopo di lucro in riferimento agli aderenti e ai soggetti che hanno con essi contatti regolari nell'ambito delle legittime finalita' come individuate nello statuto o nell'atto costitutivo (art. 24, comma 1, lettera h), decreto legislativo n. 196/2003, v. infra punto B). (1)
Inoltre, come gia' puntualizzato, ove il trattamento riguardi categorie particolari di dati personali lo stesso e' consentito se effettuato da una fondazione, associazione o altro organismo senza scopo di lucro ove persegua finalita' politiche nell'ambito delle sue legittime attivita' o qualora tra i propri scopi statutari figuri anche il diretto perseguimento di finalita' di propaganda elettorale e connessa comunicazione politica, a condizione che riguardi gli aderenti o le persone che hanno con esse regolari contatti, siano previste adeguate garanzie, e che i dati personali non siano comunicati all'esterno (art. 9, par. 2, lettera d) regolamento).
Il trattamento di categorie particolari di dati personali puo' altresi' ritenersi consentito ove riguardi informazioni personali rese manifestamente pubbliche dall'interessato (art. 9, par. 2, lettera e), regolamento), purche', come puntualizzato dal Comitato europeo per la protezione dei dati, «al pari di altre deroghe riferite alle categorie particolari di dati personali, anche in questo caso l'interpretazione [sia] restrittiva, in quanto la deroga non puo' essere utilizzata per legittimare il trattamento di dati derivati» (c.d. inferred data) (cfr. dichiarazione 2/2019 sull'uso di dati personali nel corso di campagne politiche, p. 2).
Tanto premesso, di seguito si indicano i principali casi, ancorche' non esaustivi, in cui il trattamento dei dati personali per finalita' di propaganda elettorale e connessa comunicazione politica e' consentito sulla base dei presupposti di liceita' sopra individuati.
1) Fonti pubbliche.
I dati personali estratti da fonti «pubbliche» - vale a dire le informazioni contenute in registri o elenchi detenuti da un soggetto pubblico, e al tempo stesso accessibili in base ad un´espressa disposizione di legge o di regolamento - possono essere utilizzati per finalita' di propaganda elettorale e connessa comunicazione politica, senza richiedere il consenso degli interessati (art. 6, par. 1, lettera f), regolamento), nel rispetto dei presupposti, dei limiti e delle modalita' eventualmente stabilite dall´ordinamento per accedere a tali fonti o per utilizzarle (per es. l'obbligo di rispettare le finalita' che la legge stabilisce per determinati elenchi; l´identificazione di chi ne chiede copia, se l´accesso e' consentito solo in determinati periodi; articoli 5, par. 1, lettera a) e b), 6, par. 2, lettera b), regolamento e articoli 2-ter, comma 3, e 61, comma 1, codice). In particolare, possono essere utilizzati, per il perseguimento delle predette finalita' di propaganda elettorale e connessa comunicazione politica, i dati personali estratti dai seguenti elenchi pubblici:
liste elettorali detenute presso i comuni, che «possono essere rilasciate in copia per finalita' di applicazione della disciplina in materia di elettorato attivo e passivo» (art. 51 decreto del Presidente della Repubblica 20 marzo 1967, n. 223);
elenco provvisorio dei cittadini italiani residenti all´estero aventi diritto al voto (art. 5, comma 1, legge n. 459 del 27 dicembre 2001; art. 5, comma 8, decreto del Presidente della Repubblica 2 aprile 2003, n. 104);
elenco degli elettori italiani che votano all´estero per le elezioni del Parlamento europeo (art. 4 decreto-legge 24 giugno 1994, n. 408, convertito con legge 3 agosto 1994, n. 483);
liste aggiunte dei cittadini elettori di uno Stato membro dell´Unione europea residenti in Italia e che intendano ivi esercitare il diritto di voto alle elezioni comunali (articoli 1 e ss. decreto legislativo 12 aprile 1996, n. 197);
elenco provvisorio dei cittadini italiani residenti all´estero aventi diritto al voto per l´elezione del Comitato degli italiani all´estero (Comites, art. 13 legge 23 ottobre 2003, n. 286; art. 5, comma 1, legge 27 dicembre 2001, n. 459; art. 5, comma 8, decreto del Presidente della Repubblica 2 aprile 2003, n. 104; art. 11, decreto del Presidente della Repubblica 29 dicembre 2003, n. 395).
2) Aderenti e soggetti che hanno contatti regolari con partiti, movimenti e altre formazioni a carattere politico.
Partiti, movimenti e altre formazioni a carattere politico possono utilizzare lecitamente, senza acquisire previamente uno specifico consenso - sulla base dell'informativa resa ai sensi dell'art. 13 del regolamento - i dati personali relativi agli aderenti, nonche' agli altri soggetti con cui intrattengono contatti regolari, per finalita' di propaganda elettorale e connessa comunicazione politica, trattandosi di attivita' lecitamente perseguibili in quanto ricomprese in quelle di carattere politico previste in termini generali nell'atto costitutivo o nello statuto, ovvero strettamente funzionali al perseguimento di tali scopi (v. art. 9, par. 2, lettera d), regolamento).
4. Dati raccolti da terzi e messi a disposizione di soggetti politici.
Di frequente l'attivita' in esame comporta la partecipazione di soggetti terzi che mettono a disposizione di partiti, movimenti politici, comitati di promotori e sostenitori, nonche' di singoli candidati, dati personali per il perseguimento delle finalita' menzionate o che, comunque, svolgono, per conto di quest'ultimi, servizi di comunicazione politica. Tale partecipazione nelle attivita' di trattamento rende opportuno richiamare, in particolare, l'attenzione sugli adempimenti previsti per il titolare in base al principio di accountability (articoli 5, par. 2 e 24, regolamento). In merito, si riportano di seguito alcune delle ipotesi piu' ricorrenti.
I. Dati raccolti tramite le c.d. «liste consensate».
Talvolta, nella prassi e' emersa l'acquisizione di dati personali da terzi cedenti che mettono a disposizione - solitamente dietro corrispettivo - informazioni relative a numeri di telefonia fissa e mobile, indirizzi e-mail o postali «consensati», per i quali cioe' tali cedenti assicurano la corretta raccolta (in base ad un'informativa asseritamente adeguata e a consensi ritenuti coerenti con le finalita' del trattamento). In tale ipotesi, partiti, movimenti politici, comitati di promotori e sostenitori, nonche' di singoli candidati, in quanto titolari del trattamento, non sono esentati dal dover verificare l'effettivo adempimento degli obblighi previsti dalla normativa.
La verifica, a seconda dei casi, dovra' riguardare, ove si tratti di banche dati di modeste dimensioni (nella quantita' di poche centinaia o migliaia di anagrafiche) tutti gli interessati o, quando si tratti di banche dati piu' consistenti, perlomeno, un campione oggettivamente congruo rispetto alla quantita' degli stessi, e dovra' concernere anche la qualita', con riferimento all'esattezza, correttezza ed aggiornamento dei dati trattati (2) .
In particolare, il cessionario dovra' verificare che:
il cedente abbia rilasciato all'interessato l'informativa ai sensi dell'art. 13 del regolamento, anche riguardo alla finalita' di comunicazione dei suoi dati a soggetti terzi appartenenti al settore politico e/o propagandistico;
lo stesso soggetto abbia acquisito dall'interessato un consenso specifico per la comunicazione a terzi per finalita' di propaganda elettorale e connessa comunicazione politica (articoli 6, par. 1, lettera a) e 7, regolamento). Non e' necessario, invece, acquisire un consenso specifico per le singole modalita' (e-mail; sms; telefonate con operatore; fax; posta cartacea) utilizzate per perseguire tali finalita' (3) . Il consenso deve risultare manifestato chiaramente e liberamente, e, a tal fine, formulato in termini differenziati, rispetto alle diverse altre finalita' perseguibili (ad esempio, quella di invio di materiale pubblicitario/vendita diretta/di ricerche di mercato; quella di profilazione; quella di comunicazione a terzi per le loro finalita' promozionali o di profilazione).
II. Servizi di propaganda elettorale e di comunicazione politica curati da terzi.
Quando i servizi in questione sono curati da soggetti terzi, questi ultimi, nei casi concreti, possono essere contitolari del trattamento oppure meri responsabili.
E' ravvisabile la contitolarita' quando il terzo, oltre a provvedere direttamente all'invio delle comunicazioni, utilizzi basi di dati in suo possesso e/o comunque quando lo stesso abbia, congiuntamente ai titolari di cui sopra, potere decisionale sulle finalita' e i mezzi del relativo trattamento (per una concezione sostanziale e non formalistica dei ruoli in materia di protezione dei dati, v. art. 28, par. 10, regolamento)
In tal caso partiti, movimenti politici, comitati di promotori e sostenitori, nonche' singoli candidati, sono comunque tenuti ad effettuare le verifiche di cui sopra anche in presenza dell'attestazione, da parte dei terzi in questione, riguardo all'esatto adempimento degli obblighi vigenti in materia (in particolare, quelli relativi all'informativa e al consenso).
Invece, quando il terzo effettua il trattamento per conto del titolare, non avendo alcun potere decisionale sulle finalita' e sui mezzi del trattamento, agisce in qualita' di responsabile. In tal caso e' necessario che il responsabile tratti i dati sulla base di precise e documentate istruzioni del titolare, anche per quanto riguarda la sicurezza, e che i relativi trattamenti siano disciplinati da un contratto o altro atto giuridico ai sensi e per gli effetti dell'art. 28 del regolamento.
Il responsabile puo' richiedere, in nome e per conto del titolare, copia delle liste elettorali ed effettuare, in tale veste, le specifiche operazioni di trattamento per il periodo di tempo necessario al completamento della campagna elettorale (raccolta delle liste elettorali presso i comuni, utilizzazione dei dati per stampa, imbustamento e postalizzazione delle comunicazioni politiche). I dati personali cosi' acquisiti e detenuti dal terzo responsabile non possono essere utilizzati o messi a disposizione di altri committenti che ne facciano successivamente richiesta.
5. Dati non utilizzabili.
Non sono utilizzabili:
A) dati personali raccolti o utilizzati per lo svolgimento di attivita' istituzionali.
Alcune fonti documentali detenute dai soggetti pubblici non sono utilizzabili a scopo di propaganda elettorale e connessa comunicazione politica, in ragione della specifica disciplina di settore. Cio', per esempio, in relazione:
all'anagrafe della popolazione residente (articoli 33 e 34 decreto del Presidente della Repubblica 30 maggio 1989, n. 223; art. 62 decreto legislativo 7 marzo 2005, n. 82). In base alla disciplina di settore, gli elenchi degli iscritti all'anagrafe possono essere rilasciati solo «alle amministrazioni pubbliche che ne facciano motivata richiesta, per esclusivo uso di pubblica utilita' [...] in conformita' alle misure di sicurezza, agli standard di comunicazione e alle regole tecniche previsti dal decreto del Presidente del Consiglio dei ministri 10 novembre 2014, n. 194, e dall'art. 58 del decreto legislativo 7 marzo 2005, n. 82» (art. 34 decreto del Presidente della Repubblica n. 223/1989);
agli archivi dello stato civile (art. 450 del codice civile; decreto del Presidente della Repubblica 3 novembre 2000, n. 396);
agli schedari dei cittadini residenti nella circoscrizione presso ogni ufficio consolare (art. 8 decreto legislativo 3 febbraio 2011, n. 71);
alle liste elettorali di sezione gia' utilizzate nei seggi, sulle quali sono annotati dati relativi ai non votanti e che sono utilizzabili solo per controllare la regolarita' delle operazioni elettorali (art. 62 decreto del Presidente della Repubblica 16 maggio 1960, n. 570);
ai dati annotati nei seggi da scrutatori e rappresentanti di lista per lo svolgimento delle operazioni elettorali. Tali dati, se conosciuti, devono essere trattati con la massima riservatezza nel rispetto del principio costituzionale della liberta' e della segretezza del voto, avuto anche riguardo alla circostanza che la partecipazione o meno ai referendum o ai ballottaggi puo' evidenziare di per se' anche un eventuale orientamento politico dell´elettore;
ai dati raccolti dai soggetti pubblici nello svolgimento delle proprie attivita' istituzionali o, in generale, per la prestazione di servizi;
agli elenchi di iscritti ad albi e collegi professionali (art. 61, comma 2, del codice);
agli indirizzi di posta elettronica tratti dall´Indice nazionale dei domicili digitali delle imprese e dei professionisti e dall'Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, non tenuti all'iscrizione in albi professionali o nel registro delle imprese (art. 6-bis e 6-quater nel decreto legislativo 7 marzo 2005, n. 82);
dati resi pubblici alla luce della disciplina in materia di trasparenza o pubblicita' dell'azione amministrativa da parte delle pubbliche amministrazioni (decreto legislativo 14 marzo 2013, n. 33; legge 18 giugno 2009, n. 69), nonche' da altre norme di settore. Si pensi, ad esempio, agli atti contenenti dati personali pubblicati all´albo pretorio on line, alla pubblicita' degli esiti concorsuali, agli atti di attribuzione a persone fisiche di vantaggi economici comunque denominati, agli organigrammi degli uffici pubblici recanti anche recapiti telefonici e indirizzi di posta elettronica dei dipendenti, alle informazioni riferite agli addetti ad una funzione pubblica. Cio', in quanto la circostanza che dati personali siano resi conoscibili on line sui siti istituzionali per le predette finalita' non consente che gli stessi siano liberamente riutilizzabili da chiunque e per qualsiasi scopo, ivi compreso, quindi, il perseguimento di finalita' di propaganda elettorale e connessa comunicazione politica.
B) Dati raccolti da titolari di cariche elettive e di altre funzioni pubbliche .
Specifiche disposizioni di legge prevedono che i titolari di alcune cariche elettive possono richiedere agli uffici di riferimento di fornire notizie utili all´esercizio del mandato ed alla loro partecipazione alla vita politico-amministrativa dell´ente. Ad esempio, i consiglieri comunali e provinciali hanno diritto di ottenere dagli uffici, rispettivamente, del comune e della provincia, nonche' dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni in loro possesso, utili all´espletamento del proprio mandato (art. 43, comma 2, decreto legislativo 18 agosto 2000, n. 267). Specifiche disposizioni prevedono, altresi', l´esercizio di tale diritto da parte di consiglieri regionali. Il predetto diritto di accesso alle informazioni e' direttamente funzionale alla cura di un interesse pubblico connesso all´esercizio del mandato elettivo; tale finalizzazione esclusiva costituisce, al tempo stesso, il presupposto che legittima l´accesso e che ne limita la portata. Fuori dai predetti casi, strettamente riconducibili al mandato elettivo, non e' lecito, quindi, richiedere agli uffici dell´amministrazione di riferimento la comunicazione di intere basi di dati oppure la formazione di appositi elenchi «dedicati» da utilizzare per attivita' di comunicazione politica.
Non e' parimenti consentito, da parte di soggetti titolari di cariche pubbliche non elettive e, piu' in generale, di incarichi pubblici, l´utilizzo per finalita' di propaganda elettorale e connessa comunicazione politica dei dati acquisiti nell´ambito dello svolgimento dei propri compiti istituzionali.
C) Dati raccolti nell´esercizio di attivita' professionali, di impresa e di cura.
I dati personali raccolti nell´esercizio di attivita' professionali e di impresa, ovvero nell´ambito dell´attivita' di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalita' non e' infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti (art. 5, par. 1, lettere a) e b), regolamento), salvo che il titolare acquisisca uno specifico e informato consenso dell'interessato (art. 9, par. 1. lett a); cfr. per quanto riguarda l'ambito sanitario il provvedimento 7 marzo 2019, doc. web n. 9091942).
D) Dati contenuti negli elenchi telefonici.
I dati personali degli intestatari di utenze pubblicati negli elenchi telefonici non possono essere utilizzati per finalita' di propaganda elettorale e connessa comunicazione politica, in difetto di una previa adeguata informativa, chiara e trasparente, ai sensi dell'art. 13 del regolamento e di un espresso consenso libero, specifico e documentato o, quanto meno, documentabile in modo certo (articoli 6 e 7; v. anche articoli: 5, comma 2 e 24, regolamento riguardo al principio di «accountability»).
L´art. 129 del codice, in attuazione della direttiva 2002/58/CE, ha individuato nella «mera ricerca dell´abbonato per comunicazioni interpersonali» la finalita' primaria degli elenchi telefonici realizzati in qualunque forma (cartacei o elettronici), ribadendo che il trattamento dei dati inseriti nei predetti elenchi, se effettuato per fini ulteriori e diversi da quelli di comunicazione interpersonale e' lecito solo se e' effettuato previa acquisizione del consenso specifico ed espresso degli interessati (c.d. «opt-in»).
Si ricorda che la deroga al siffatto obbligo del consenso (c.d. «opt-out»), introdotta all´art. 130 del codice (v. art. 20-bis, decreto-legge 25 settembre 2009, n. 135, convertito con modificazioni dall´art. 1, comma 1, legge 20 novembre 2009), con l´istituzione del «Registro pubblico delle opposizioni» (decreto del Presidente della Repubblica 7 settembre 2010, n. 178), e' limitata alle finalita' promozionali e non consente pertanto l´utilizzo dei dati personali contenuti nei menzionati elenchi a scopo di propaganda elettorale e connessa comunicazione politica (4) . Cio', in ragione anche dell'evidente specificita' della finalita' «politica» che esclude una sua automatica sovrapposizione - in termini di compatibilita' (v. art. 5, par. 1, lettera b, regolamento) - con la finalita' di marketing.
E) Dati reperiti sul web.
L´agevole reperibilita' di dati personali in internet (quali recapiti telefonici o indirizzi di posta elettronica) non comporta la libera disponibilita' degli stessi ne' autorizza il trattamento di tali dati per qualsiasi finalita', ma - in osservanza ai principi di correttezza e finalita' (v. art. 5, par. 1, lettera a) e b), regolamento) - soltanto per gli scopi sottesi alla loro pubblicazione (5) .
Quindi, anche per quanto riguarda la propaganda politica on line, deve evidenziarsi il generale divieto di utilizzo a tal fine dei dati reperiti sul web, senza uno specifico consenso informato alla suddetta finalita' (v. articoli: 6, 7 e 13, regolamento).
Si ritiene quindi illecita l´attivita' d'invio di messaggi politici/elettorali effettuata trattando dati di contatto reperiti in rete in assenza di tali presupposti (indirizzo e-mail; numero di telefonia fissa; numero di telefonia mobile), a prescindere dalle modalita' impiegate: automatizzate (e-mail; sms; fax; telefonate preregistrate; mms) o non automatizzate (telefonate con operatore; posta cartacea).
Cio' in particolare puo' riguardare, ad esempio:
dati raccolti automaticamente in internet tramite appositi software (v. c.d. web or data scraping);
liste di abbonati ad un provider;
dati pubblicati su siti web per specifiche finalita' di informazione aziendale, comunicazione commerciale o attivita' associativa;
dati consultabili in internet solo per le finalita' di applicazione della disciplina sulla registrazione dei nomi a dominio;
dati pubblicati dagli interessati sui social network.
Riguardo a quest'ultima ipotesi, come hanno evidenziato casi recenti, sussistono seri rischi di utilizzo improprio dei dati personali dei cittadini per sofisticate attivita' di profilazione su larga scala e di invio massivo di comunicazioni o ancora per indirizzare campagne personalizzate (il c.d. micro-targeting) volte a influenzare l'orientamento politico e/o la scelta di voto degli interessati, sulla base degli interessi personali, dei valori, delle abitudini e dello stile di vita dei singoli. In vista delle elezioni europee e' pertanto fondamentale garantire la corretta applicazione delle norme sulla protezione dei dati soprattutto on line, anche al fine di proteggere il processo elettorale da interferenze e turbative esterne.
In tale quadro, va ribadito che i messaggi politici e propagandistici inviati agli utenti di social network (come Facebook o Linkedin), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina in materia di protezione dei dati (articoli 5, 6, 7, 13, 24, 25 del regolamento). La medesima disciplina e' altresi' applicabile ai messaggi inviati utilizzando altre piattaforme, come Skype, WhatsApp, Viber, Messanger.
In merito, si rappresenta che il suindicato rischio risulta ancor piu' elevato in considerazione delle peculiari condizioni di servizio imposte unilateralmente agli utenti sia dalle piattaforme di comunicazione e social networking, sia nei dispositivi mobili utilizzati. Infatti tali condizioni, in alcuni casi, prevedono la condivisione indifferenziata (e senza il necessario consenso specifico) di tutti o gran parte dei dati personali presenti negli smartphone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet) o l´accesso del fornitore alla lista dei contatti o alla rubrica presente sul dispositivo mobile.
Ad ogni modo, ove i titolari procedano, per finalita' di propaganda elettorale e connessa comunicazione politica, al trattamento di dati personali presenti sui social (o altrove reperiti), nel rispetto dei principi e dei presupposti di liceita' sopra individuati (articoli 5, 6, 13 e ss., regolamento), si ribadisce la necessita' di evitare comunicazioni massive e insistenti, nonche' condotte non corrette quali:
contatti mediante telefonate o sms in orario notturno;
comunicazioni che mirino ad acquisire informazioni personali degli interessati eccedenti e non pertinenti con la finalita' di propaganda elettorale e comunicazione politica.
Coerentemente con i principi sopra ribaditi, ove - nei social network, come anche in blog e forum utilizzati dalla comunita' degli iscritti ai servizi social - risultino visualizzabili numeri di telefono o indirizzi di posta elettronica, i suindicati titolari, che intendano inviare messaggi finalizzati alla comunicazione politica/elettorale, dovranno aver previamente acquisito, per ciascun di tali «contatti», un preventivo consenso libero, specifico, documentato ed informato per la finalita' in questione oppure basarsi su un altro eventuale presupposto di liceita'.
6. Accountability ed obbligo di informativa.
Come gia' detto, in caso di raccolta dei dati presso l´interessato, quest´ultimo deve essere informato in merito alle caratteristiche del trattamento, salvo che per gli elementi che gli siano gia' noti (art. 13, regolamento).
Quando invece i dati non sono raccolti presso l'interessato, l'informativa va fornita entro un termine ragionevole dall'acquisizione degli stessi - che non puo' superare la durata di un mese -, o comunque al momento della prima comunicazione all'interessato o ad altro destinatario qualora prevista (art. 14, paragrafi 1, 2 e 3, regolamento).
Il titolare puo' esimersi dal rendere l'informativa nel caso in cui rilasciarla risulti «impossibile» o implichi «uno sforzo sproporzionato» (art. 14, par. 4, lettera b), regolamento). In tali ipotesi, il titolare e' comunque tenuto ad adottare «misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni» (art. 14, par. 5, lettera b), regolamento). Dunque, in base a tale previsione - espressione del principio di «accountability» - e' rimessa anche in questa circostanza al titolare, a fronte di minori adempimenti amministrativi e in un'ottica di maggiore responsabilizzazione del medesimo, l'adozione di adeguate misure tecniche e organizzative atte a garantire che il trattamento venga effettuato in conformita' alla legislazione vigente (articoli 5, par. 2 e 24, regolamento).
Ai fini dell'applicazione dei principi sopra indicati, il titolare puo' tener conto dei provvedimenti in materia di esonero dall'informativa adottati dal Garante, in vigenza della previgente normativa (ai sensi dell'art. 13, comma 5, lettera c), decreto legislativo n. 196/2003), per valutare il ricorrere dei presupposti di applicabilita' dell'art. 14, par. 5, lettera b) del regolamento ed adottare le misure appropriate (6) . Nei provvedimenti menzionati, il Garante ha ritenuto proporzionato rispetto ai diritti degli interessati, esonerare dall´obbligo di rendere l´informativa i soggetti politici che utilizzano, per finalita' di propaganda elettorale e connessa comunicazione politica, dati personali estratti dalle liste elettorali durante il limitato arco temporale legato a consultazioni politiche, amministrative o referendarie, oppure nel caso di invio di materiale propagandistico di dimensioni ridotte che, a differenza di una lettera o di un messaggio di posta elettronica, non renda possibile fornire un'idonea informativa sulla base di specifiche condizioni (v. par. 5.1, provv. gen. 6 marzo 2014, doc. web n. 3013267).
In altri provvedimenti, anch'essi resi ai sensi dell'art. 13, comma 5, lettera c), decreto legislativo n. 196/2003, il titolare e' stato esonerato dall'obbligo di rendere l'informativa individualmente, a condizione che la stessa, completa di tutti i suoi elementi, fosse comunque fornita mediante pubblicazione sul proprio sito web e tramite annunci pubblicati su quotidiani a diffusione nazionale (7) .
Tanto premesso, qualora l'adempimento dell'obbligo di cui all'art. 14, par. 1 del regolamento, come nel caso di dati estratti dalle liste elettorali, risulti impossibile o implichi uno sforzo sproporzionato per gli stessi, in relazione alle specifiche circostanze del caso, e' rimessa ai partiti, movimenti politici, comitati di promotori e sostenitori, nonche' singoli candidati la scelta di non rendere l'informativa purche' siano individuate misure appropriate. Anche alla luce di quanto gia' stabilito dal Garante nei provvedimenti sopra citati (8) , le misure appropriate potrebbero essere quelle gia' individuate in passato. In base a queste ultime, potrebbero dunque prescindere dall'obbligo di rendere l'informativa individuale, a partire dal sessantesimo giorno precedente la data delle consultazioni fino al sessantesimo giorno successivo al termine delle stesse (o dell´eventuale ballottaggio), a condizione che:
nel materiale inviato sia indicato un recapito (indirizzo postale, e-mail, anche con rinvio a un sito web dove tali riferimenti siano facilmente individuabili) al quale l´interessato possa agevolmente rivolgersi per esercitare i diritti di cui agli articoli 15 e ss. del regolamento; e
l'informativa recante tutti gli elementi di cui all'art. 14, paragrafi 1 e 2 del regolamento sia resa mediante pubblicazione della stessa sui propri siti web di riferimento o tramite annunci pubblicati su quotidiani a diffusione nazionale o locale (a seconda della consultazione).
7. Esercizio dei diritti dell´interessato e obblighi dei titolari.
L´interessato, rivolgendosi al titolare del trattamento, puo' in ogni momento esercitare i diritti di cui agli articoli 15 e ss. del regolamento.
Con particolare riferimento al trattamento dei dati effettuato a fini di propaganda elettorale e comunicazione politica, l´interessato puo' in ogni momento opporsi alla ricezione di tale materiale (cfr. art. 21, regolamento), anche nel caso in cui abbia manifestato in precedenza un consenso informato. L'interessato puo', inoltre, revocare in ogni momento il proprio consenso. In tale ipotesi, il titolare e' tenuto a non inviare piu' all´interessato ulteriori messaggi in occasione di successive campagne elettorali o referendarie.
Cio' vale anche nel caso in cui i dati personali sono estratti dalle liste elettorali, la cui disciplina prevede espressamente il relativo utilizzo per le finalita' considerate (art. 51 decreto del Presidente della Repubblica n. 223/1967, cit.). Tale richiesta potra', tuttavia, essere accolta limitatamente al trattamento dei dati contenuti nelle liste gia' raccolte, e non anche in relazione alle attivita' di comunicazione politica effettuate tramite l´utilizzo di liste elettorali che dovessero essere acquisite in futuro.
Le richieste di cui sopra obbligano il titolare del trattamento a fornire all'interessato le informazioni relative alla corrispondente azione intrapresa, al piu' tardi, entro il termine di un mese dal ricevimento della richiesta, eventualmente prorogabile di altri due mesi in ragione della complessita' e del numero di istanze pervenute (art. 12, par. 3, regolamento); qualora non venga fornito un riscontro idoneo, l´interessato puo' rivolgersi all´autorita' giudiziaria ovvero presentare un reclamo al Garante (art. 77, regolamento e art. 141 del codice).
Con il presente provvedimento, si evidenzia la necessita' che i titolari del trattamento (partiti; movimenti politici; comitati; singoli candidati), alla luce dei nuovi principi di accountability e privacy by design, predispongano misure organizzative e tecniche adeguate, anche in base allo stato delle nuove tecnologie e dei nuovi crescenti rischi per gli interessati, tali da garantire l'esercizio effettivo, puntuale e tempestivo dei predetti diritti. E' altresi' necessario che tali titolari siano in grado di comprovare con idonea documentazione le misure previste ed adottate, nonche' il procedimento valutativo per la loro individuazione, inclusa la valutazione dei rischi.
8. Le sanzioni.
Si ritiene utile evidenziare che, in caso di violazione della disciplina sopra piu' volte richiamata, trova applicazione il quadro sanzionatorio previsto dall'art. 83 del regolamento, ove sono ricomprese sanzioni amministrative pecuniarie, in ipotesi, fino a 20 milioni di euro.
Inoltre, in ragione delle modifiche introdotte dal legislatore europeo, al regolamento UE, sopra richiamato sullo statuto e il finanziamento dei partiti politici europei e delle fondazioni politiche europee (v. sub par. 1), possono trovare applicazione sanzioni pecuniarie aggiuntive. In base alle dette modifiche, infatti, se l'Autorita' per i partiti politici europei e le fondazioni politiche europee viene a conoscenza di una decisione di un'autorita' nazionale di controllo sulla protezione dei dati da cui sia possibile evincere che la violazione delle norme applicabili in materia sia connessa ad attivita' volte ad influenzare deliberatamente o tentare di influenzare l'esito delle elezioni europee "e' tenuta ad avviare un'apposita procedura di verifica - anche coordinandosi con l'autorita' nazionale di controllo interessata - all'esito della quale possono essere applicate le sanzioni previste nei confronti dei partiti europei o delle fondazioni politiche europee che abbiano utilizzato a proprio vantaggio tale violazione. Le sanzioni potrebbero ammontare al 5 % del bilancio annuale del partito o della fondazione interessati. Inoltre, i partiti e e le fondazioni che risulteranno aver commesso una violazione non potranno chiedere finanziamenti a carico del bilancio generale dell'Unione europea nell'anno in cui la sanzione e' imposta.
Tutto cio' premesso il Garante:
Ai sensi degli articoli 57, par. 1, lettera b) e d) del regolamento e 154, comma 1, lettera f) e g) del codice, adotta il presente provvedimento e dispone che copia dello stesso sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell´art. 154-bis, comma 3, del codice.
Roma, 18 aprile 2019
Il presidente e relatore: Soro
Il segretario generale: Busia
____________
(1) Tale interpretazione - gia' espressa nel parere reso il 9 aprile
2014 dal Gruppo di lavoro ex art. 29 sul concetto di interesse
legittimo del titolare del trattamento ai sensi della direttiva
95/46/CE (v. WP 217, p. 60-61)- trova conferma anche nella
relazione illustrativa che accompagna lo schema di decreto
legislativo n. 101/2018, ove e' stato precisato che i trattamenti
in questione rientrano «certamente nei presupposti di
legittimita' del trattamento previsti dall'art. 6 del regolamento
e in particolare nell'esercizio del "legittimo interesse" cui il
regolamento accorda ampio spazio» (v. relazione illustrativa,
cit., p. 4).
(2) Nel senso di una verifica rigorosa si esprimono testualmente le
indicazioni date dal provv. generale 29 maggio 2003, «Spamming.
Regole per un corretto uso dei sistemi automatizzati e l'invio di
comunicazioni elettroniche», doc. web n. 29840, proprio rispetto
a liste acquistate da soggetti terzi).
(3) V. in tal senso gia': linee guida 4 luglio 2013, in materia di
attivita' promozionale e contrasto allo spam, doc. web n.
2542348)
(4) V provv. gen. 19 gennaio 2011 «Prescrizioni per il trattamento di
dati personali per finalita' di marketing, mediante l´impiego del
telefono con operatore, a seguito dell´istituzione del registro
pubblico delle opposizioni», doc. web n. 1784528)
(5) V., fra i piu' recenti, provv.ti 1° febbraio 2018; 21 settembre
2017, citt., e, ancor prima, provv. 11 gennaio 2001, doc. web n.
40823; provv. gen. 29 maggio 2003 e linee guida 4 luglio 2013,
par. 2.5, citt.; v. altresi' provv.ti 6 ottobre 2016, n. 390,
doc. web n. 5834805 e 30 novembre 2017, doc. web n. 7522090.
(6) V. provv. gen. 6 marzo 2014, doc. web n. 3013267; provv.ti gen.li
12 febbraio 2004, doc. web n. 634369, 7 settembre 2005, doc. web
n. 1165613; 24 aprile 2013, doc. web n. 2404305.
(7) V. provv. del 5 luglio 2017, doc. web n. 6845231; provv. del 9
novembre 2017, doc. web n. 7489156, provv. dell'11 giugno 2015,
doc. web n. 4169456.
(8) Cfr. anche quanto ora raccomandato dal Comitato europeo per la
protezione dei dati personali nella dichiarazione n. 2/2019 in
merito alla necessaria osservanza dei principi di liceita',
correttezza e trasparenza (v. punto 3).
|