Ogni campagna elettorale è un momento in cui la tranquillità di ognuno è messa particolarmente a repentaglio dal martellamento di candidati, partiti, simpatizzanti e attivisiti. Il Garante per la Privacy ha però pensato di offrire almeno un ombrello a tutti noi per cercare di ripararsi da un vero uragano di comunicazioni non richieste che vanno ad invadere i nostri spazi quotidiani; reali e virtuali.

Con il provvedimento 96 dello scorso 18 Aprile sono state dettate linee guida che dovrebbero essere seguite dai candidati ai sensi del GDPR. Dopo aver premesso come quello delle elezioni sia un momento significativo della partecipazione alla democrazia, ha ribadito come il rispetto della protezione dei dati sia essenziale per mantenere la fiducia dei cittadini, oltre che elemento atto a garantire il regolare svolgimento delle consultazioni. Non ha poi mancato di ricordare come anche il legislatore europeo abbia stabilito “sanzioni pecuniarie nei casi in cui i partiti politici europei o le fondazioni politiche europee sfruttino le violazioni delle norme in materia di protezione dei dati al fine di influenzare l'esito delle elezioni del Parlamento europeo”.

Il Garante ha quindi ribadito come il trattamento dei dati a fini elettorali debba essere effettuato nel rispetto del principio di liceità come definito dal GDPR e sulla base di un consenso libero, specifico, inequivocabile e informato, oltre che esplicito nei casi previsti dall’art. 9. 2a del GDPR. Pertanto anche un partito politico o un movimento dovrà dimostrare il consenso all’invio di materiale di natura politica ai suoi possibili elettori e le informative dovranno essere chiare sul punto.  

E’ stato poi definito illecito il comportamento, che è purtroppo prassi, da parte di molti candidati che usano l’elenco degli iscritti per inviare materiale di propaganda ricorrendo agli indirizzari degli iscritti, senza accertarsi se abbiano o meno prestato il consenso. L’aspetto assume rilievo in quanto, chiaramente, il Garante ha sancito il principio secondo il quale l’iscrizione a associazioni o partiti politici, non è una forma di consenso implicito a ricevere materiale pubblicitario o di propaganda, salva l’ipotesi che il fine di propaganda rientri espressamente negli scopi statutari E (attenzione, non O) a condizione che tali finalità e modalità di contatto “siano previste espressamente nello statuto o nell´atto costitutivo e siano rese note agli interessati all´atto dell´informativa ai sensi dell´art. 13 del Regolamento”. Un bel limite all’attività propagandistica di movimenti e partiti che, anche in caso di raccolta dati in occasione di eventi diversi, potranno usarli per propaganda solo in presenza dello specifico consenso accompagnato da una puntuale informativa. Diverso il caso in cui vi sia l’adesione ad un partito e al suo programma dove lo statuto preveda la possibilità di essere contattati, ma sempre purché sia indicato nell’informativa. 

In ogni caso il Garante ha previsto l’utilizzabilità dei dati il cui trattamento sia necessario per il titolare al perseguimento di un legittimo interesse, ma a condizione che non prevalgano gli interessi e le libertà dell’interessato. Sono quelle situazioni in cui sono trattati registri o altri pubblici documenti conoscibili da chiunque: a titolo esemplificativo possiamo indicare le liste elettorali presso i comuni o elenchi di elettori residenti all’estero.


Altri casi regolamentati dal garante sono:

1. Dati raccolti da terzi e acquistati dal partito / organizzazione politica
E’ stata poi presa in considerazione l’ipotesi di dati raccolti da soggetti terzi e messi a disposizione del titolare, magari previo pagamento. Anche in questo caso il titolare deve verificare l’adempimento degli obblighi previsti dalla normativa e, tra le altre indicazioni, è stato espressamente imposto al titolare, cessionario dei dati, di accertarsi se sia stata rilasciata adeguata informativa e ottenuto il consenso esplicito all’invio materiali. Non è però previsto che siano specificate le modalità di invio (fax, mail telefonate ecc.).

2. La propaganda è effettuata da soggetti terzi dal titolare
Nei casi in cui la propaganda elettorale sia effettuata da soggetti terzi al titolare, questi possono essere contitolari o responsabili sulla base della tipologia di incarico affidato e del potere decisionale eventualmente demandato al terzo. Non sono utilizzabili i dati eventualmente raccolti presso gli uffici anagrafici, archivi di Stato, quelli annotati nei seggi da scrutatori e rappresentanti di lista, elenchi di iscritti ad albi professionali e i dati conoscibili anche on line relativi, ad esempio, a partecipanti a concorsi, beneficiari di contributi e così via, in quanto dati disponibili per un solo determinato scopo e non per altri usi. Allo stesso modo non sono utilizzabili i dati raccolti da chi ricopra cariche politiche o istituzionali, ancorché legittimamente ottenuti, oltre che i dati ottenuti nell’esercizio di attività professionali o imprenditoriali.

3. Dati provenienti da elenchi telefoni pubblici / social network
Argomento particolarmente importante e sensibile è quello degli elenchi telefonici pubblici. Anche se ormai scomparsi gli enormi volumi cartacei di una volta, i numeri telefonici sono facilmente rintracciabili su internet, ma non sono utilizzabili in campagna elettorale se non vi siano consenso e informativa espressamente modulati su quello specifico trattamento. Stessa regola per i dati eventualmente raccolti o rintracciabili sul web. Interessante il punto nel quale il Garante specifica che i messaggi politici e propagandistici inviati agli utenti di social network, in privato o pubblicamente, sono sottoposti alla disciplina in materia di protezione dei dati, così come su altre piattaforme, come Skype, WhatsApp, Viber, Messanger.

Altre modalità ritenute non corrette sono indicate nelle telefonate o messaggi in orari notturni e le comunicazioni con cui si cerca di ottenere dati eccedenti le finalità propagandistiche. Insieme ad altre indicazioni, in ultimo, il Garante ricorda come il mancato rispetto delle indicazioni comporterà le sanzioni a molti zeri previste dal GDPR.