Con provvedimento n. 96 del 18 aprile 2019, il Garante Privacy ha chiarito le regole per una competizione elettorale che rispetti il corretto uso dei dati degli elettori al fine di proteggere il processo elettorale ed evitare rischi di interferenze e turbative esterne.
In sintesi, è possibile utilizzare senza consenso, i dati provenienti da liste elettorali detenute dai Comuni, altri elenchi e registri pubblici in materia di elettorato passivo e attivo, altre fonti documentali detenute da soggetti pubblici ed i dati degli aderenti a partiti o movimenti politici o di soggetti che hanno con essi contatti regolari.
E’ invece necessario il consenso informato per poter utilizzare dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria; dati presenti su profili dei social network e di messaggistica; dati raccolti automaticamente con appositi software (web scraping); dati provenienti da liste di abbonati di un provider; dati pubblicati su siti web per specifiche finalità di informazione aziendale, commerciale o associative. In sostanza, quindi il consenso “deve essere richiesto con formulazione specifica e distinta rispetto alle ulteriori eventuali finalità del trattamento“.
Non sono in alcun modo utilizzabili “i dati raccolti o usati per lo svolgimento di attività istituzionali come l’anagrafe della popolazione residente; gli archivi dello stato civile; le liste elettorali di sezione già utilizzate nei seggi; gli elenchi di iscritti ad albi e collegi professionali; gli indirizzi di posta elettronica tratti dall’Indice nazionale dei domicili digitali; i dati resi pubblici sulla base di atti normativi per finalità di pubblicità o di trasparenza e quelli relativi agli esiti di concorsi; quelli riportati negli organigrammi degli uffici pubblici contenenti recapiti telefonici ed indirizzi mail. Non si possono infine utilizzare dati raccolti da titolari di cariche elettive e di altri incarichi pubblici nell’esercizio del loro mandato elettivo o dell’attività istituzionale.”
In merito all’informativa che di norma va consegnata all’atto di raccolta, viene previsto un tempo ragionevole di un mese qualora i dati “siano acquisiti da altra fonte“. Una deroga è prevista nel caso in cui “tale adempimento sia però impossibile o comporti uno sforzo sproporzionato, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono esimersi dall’informativa, a condizione che adottino misure adeguate per tutelare i diritti e le libertà dei cittadini, utilizzando, per esempio, modalità pubbliche di informazione.”
Infine, in aggiunta alle sanzioni già previste dall’art. 83 del GDPR, vengono previste sanzioni pecuniarie aggiuntive sino ad un ammontare del 5 % del bilancio annuale di partiti o fondazioni che abbiano utilizzato a proprio vantaggio la violazione delle norme applicabili in materia, tentando di influenzare l’esito delle elezioni europee“; gli stessi inoltre “non potranno chiedere finanziamenti a carico del bilancio generale dell’Unione europea nell’anno in cui la sanzione è imposta.”