Propaganda elettorale: le regole del Garante privacy

Liberi gli indirizzi delle liste elettorali, serve il consenso per sms ed e-mail

Si avvicinano le elezioni regionali e amministrative e l’Autorità Garante per la privacy ha approvato di recente un apposito provvedimento (G.U. del 22 febbraio, n.43) che conferma le regole già previste dal provvedimento generale del 2005. Come già fatto in occasione di ogni campagna elettorale, l’Autorità ricorda a partiti politici e candidati le modalità in base alle quali chi effettua propaganda elettorale può utilizzare correttamente i dati personali dei cittadini (es. indirizzo, telefono, e- mail etc.).

Dati utilizzabili senza consenso. Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza il consenso dei cittadini i dati contenuti nelle liste elettorali detenute dai Comuni nonché i dati personali di iscritti ed aderenti. Possono essere usati anche altri elenchi e registri in materia di elettorato passivo ed attivo (es. elenco degli elettori italiani residenti all’estero) ed altre fonti documentali detenute da soggetti pubblici accessibili a chiunque, come gli albi professionali (nei limiti in cui lo statuto del rispettivo Ordine preveda la conoscibilità sotto forma di elenchi degli iscritti).

I titolari di cariche elettive possono utilizzare dati raccolti nel quadro delle relazioni interpersonali da loro avute con cittadini ed elettori.

Dati utilizzabili con il previo consenso. A meno che i dati personali siano stati forniti direttamente dall’interessato, è necessario il consenso per particolari modalità di comunicazione elettronica come sms, e-mail, mms, per telefonate preregistrate e fax. Stesso discorso nel caso si utilizzino dati raccolti automaticamente su Internet o ricavati da forum o newsgroup, liste abbonati ad un provider, dati presenti sul web per altre finalità.

Sono utilizzabili anche i dati degli abbonati presenti negli elenchi telefonici accanto ai quali figurino i due simboli che attestano la disponibilità a ricevere posta o telefonate. Sono ugualmente utilizzabili, se si è ottenuto preventivamente il consenso degli interessati, i dati relativi a simpatizzanti o altre persone già contattate per singole iniziative o che vi hanno partecipato (es. referendum, proposte di legge, raccolte di firme).

Dati non utilizzabili. Non sono in alcun modo utilizzabili, neanche da titolari di cariche elettive, gli archivi dello stato civile, l’anagrafe dei residenti, indirizzi raccolti per svolgere attività e compiti istituzionali dei soggetti pubblici o per prestazioni di servizi, anche di cura; liste elettorali di sezione già utilizzate nei seggi; dati annotati privatamente nei seggi da scrutatori e rappresentanti di lista, durante operazioni elettorali.

Informazione ai cittadini. I cittadini devono essere informati sull’uso che si fa dei loro dati. Se i dati non sono raccolti direttamente presso l’interessato, l’informativa va data al momento del primo contatto o all’atto della registrazione. Per i dati raccolti da registri ed elenchi pubblici o in caso di invio di materiale propagandistico di dimensioni ridotte (c.d. “santini”), il Garante ha consentito a partiti e candidati una temporanea sospensione dell’informativa fino al 31 maggio 2010.

Annunci

Il Garante vara il piano ispettivo per il primo semestre 2010

Nella Newsletter dell’11 febbraio, il Garante, dopo il bilancio delle sanzioni comminate nello scorso anno che ammonta a circa 1.600.000 euro, comunica il nuovo piano ispettivo programmato per il primo semestre del 2010 che riguarderà banche, carte di credito, fascicolo sanitario elettronico, vendita di banche dati per finalità di marketing, sistema informativo del fisco, enti previdenziali.

E’ su questi delicati settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani che si concentrerà l’attività di accertamento del Garante per la privacy nei primi sei mesi dell’anno.

Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico che in quello privato, anche riguardo all’adozione delle misure di sicurezza, alla durata di conservazione dei dati, all’informativa da fornire ai cittadini, al consenso da richiedere nei casi previsti dalla legge. Oltre 250 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con le Unità Speciali della Guardia di Finanza – Nucleo Privacy. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati.

Un primo bilancio sull’attività ispettiva relativa al 2009 svolta, come di consueto, in collaborazione con il Nucleo Privacy della Guardia di Finanza, mostra il significativo lavoro di controllo svolto dall’Autorità: sono state circa 500 le ispezioni effettuate e 368 i procedimenti sanzionatori avviati. Sono state riscosse somme per circa 1 milione e 600 mila euro, di cui oltre 62.000 relativi alla mancata adozione di misure di sicurezza da parte di aziende e pubbliche amministrazioni.

Sul fronte sanzioni va ricordato che nel 2009 sono state applicate le nuove sanzioni introdotte dal decreto “mille proroghe” del dicembre 2008. L’Autorità ha contestato per la prima volta – a una società che commercializza dati per finalità di marketing – la sanzione, che va da 50.000 a 300.000 euro, prevista nei casi in cui si riscontrino più violazioni commesse in relazione a banche dati di particolare rilevanza o dimensione.

43, infine, sono state nel 2009 le segnalazioni all’autorità giudiziaria che hanno riguardato, tra l’altro, casi di mancata di adozione delle misure di sicurezza, trattamento illecito dei dati, falsità nelle dichiarazioni e nelle notificazioni, il mancato adempimento ai provvedimenti del Garante.

Azione della Commissione europea contro l’Italia sull’uso delle banche dati per le televendite

Lo scorso 28 gennaio, La Commissione europea ha avviato un procedimento giudiziario nei confronti dell’talia per mancata osservanza delle norme europee in materia di vita privata e comunicazioni elettroniche (ePrivacy).

In base alla normativa europea gli Stati membri hanno l’obbligo di garantire che:

  • gli abbonati i cui nominativi figurano in un elenco pubblico siano informati sugli scopi dell’elenco e che
  • l’uso a fini commerciali dei dati personali ivi contenuti sia subordinato al loro consenso.

Poiché l’Italia è venuta meno a tale obbligo, la Commissione ha deciso di inviarle una lettera di costituzione in mora (si tratta della prima fase di un procedimento di infrazione).

Nella moderna società digitale è essenziale il pieno rispetto della vita privata degli utenti dei servizi di telecomunicazioni” ha affermato Viviane Reding, commissaria europea alle telecomunicazioni. “La direttiva europea sulla tutela della vita privata nel settore delle comunicazioni elettroniche (ePrivacy) offre ai cittadini una serie di strumenti per proteggere la privacy e i dati personali. È preoccupante constatare che non solo l’Italia non ha recepito nel proprio ordinamento interno le disposizioni previste dalla direttiva sulla ePrivacy, ma anche che le autorità italiane hanno prorogato la possibilità di usare banche dati contenenti dati personali di cui non è stato consentito l’utilizzo. È nostro compito garantire che tutti gli Stati membri rispettino le norme comunitarie, in modo che i cittadini si sentano sicuri nel mercato unico delle telecomunicazioni e siano informati dell’uso che viene fatto dei loro dati personali.”

In Italia sono state costituite banche dati per le televendite ricavate da elenchi pubblici di abbonati senza che gli interessati abbiano acconsentito esplicitamente all’uso di queste informazioni. L’uso di queste banche dati era autorizzato fino al 31 dicembre 2009 dalla legge italiana n.14 del 27 febbraio 2009 ed è stato prorogato di ulteriori sei mesi. Stando alle informazioni in possesso della Commissione, gli interessati:

  • non sono stati informati né del trasferimento dei loro dati da elenchi telefonici a banche dati costituite a fini commerciali,
  • né hanno acconsentito all’inserimento dei loro dati personali in tali database.

La Commissione si interroga inoltre sull’effettiva e corretta applicazione delle nuove disposizioni italiane che permettono agli abbonati di non acconsentire all’uso dei dati che li riguardano.

L ‘Italia dispone di due mesi per rispondere alla lettera di costituzione in mora (la prima fase del procedimento di infrazione) che la Commissione ha deciso di inviare oggi. In assenza di risposta o se le osservazioni presentate dall’Italia non saranno soddisfacenti, la Commissione potrà decidere di formulare un parere motivato (seconda fase di un procedimento d’infrazione). Se nemmeno in questo caso l’Italia dovesse ottemperare agli obblighi che le incombono in virtù del diritto dell’Unione europea, la Commissione potrà adire la Corte di giustizia.

Contesto

La direttiva europea sulla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva 2002/58/CE) fa obbligo agli Stati membri di garantire che, prima di essere inseriti in un elenco pubblico, gli abbonati siano informati degli scopi dell’elenco e di qualsiasi uso che potrà esserne fatto. Gli Stati membri hanno l’obbligo di garantire che gli abbonati possano decidere se permettere che i loro dati personali siano inseriti in un elenco pubblico e in che misura i loro dati siano pertinenti per gli scopi di tale elenco. Gli Stati membri devono anche vietare che siano inviate comunicazioni indesiderate, a scopo di commercializzazione diretta, senza il consenso degli abbonati. L’ordinamento interno degli Stati membri può scegliere tra le varie opzioni, ma deve garantire agli abbonati la possibilità di acconsentire o meno all’uso dei loro dati.

Un riepilogo dettagliato dei procedimenti di infrazione in materia di telecomunicazioni è disponibile sul sito:

http://ec.europa.eu/information_society/policy/ecomm/implementation_enforcement/infringement/

Privacy e UE: una ferma e lucida vigilanza

Privacy by Design, Body Scanner, Social Network

questi i punti chiavi del keynote di Viviane Reding, Commissario europeo incaricato della società dell’informazione e dei media, durante il Data Protection Day del 28 gennaio scorso al Parlamento Europeo di Bruxelles, la quale, ribadendo il fermo impegno delle Istituzioni europee nella difesa della privacy dei propri cittadini, riporta alcuni tra i suoi più recenti interventi nella veste di Commissario per la Società dell’Informazione.

  • Facebook, MySpace, Twitter: va garantita una maggiore tutela dei minori under 18 attraverso l’impostazione “privata” di default dei loro profili che, quindi, non compaiono nei motori di ricerca.
  • Behavioural Advertising (il monitoraggio della navigazione web degli utenti per fini pubblicitari): la Commissione ha avviato una procedura di infrazione nel c.d. Phorm case. Viene ribadito il principio secondo il quale senza un preventivo consenso informato degli utenti, i loro dati personali non possono essere usati.
  • Riforma delle Telecomunicazioni: l’emendamento proposto dalla Commissione alla ePrivacy Directive prevede una maggiore trasparenza e un controllo più incisivo da parte dei Cittadini dell’Unione: i Providers devono segnalare ogni violazione dei dati personali sia alle competenti autorità sia alle persone coinvolte senza ulteriore ritardo.

Il Commissario, quindi, ricorda uno dei punti chiave della normative europea sulla protezione dei dati personali, ovvero il c.d. Principio di necessità (V. art.3 Dlgs 196/2003): le imprese devono utilizzare il loro potere innovativo e di sviluppo nel migliorare la protezione della privacy sin dall’inizio del ciclo di sviluppo di ogni progetto.

Arriva, quindi, ad un nuovo importantissimo principio, il Privacy by Design, secondo il quale il rispetto della privacy non può essere garantito solo dalla normativa, piuttosto deve diventare un modo di operare di default di ogni organizzazione. Il Privacy by Design  è pertanto uno strumento che può aumentare la fiducia dei consumatori sia in servizi che prodotti e, quindi, avere un impatto positivo sull’intera economia.

La Reding affronta poi la riforma della Direttiva sui Dati Personali garantendo che le risposte alle oltre 160 consultazioni pubbliche saranno in linea sia col Trattato di Lisbona che con la Carta dei Diritti Fondamentali.Le sfide principali che si presentano sono:

  • chiarire l’applicazione di alcuni regole chiave come consenso e trasparenza
  • assicurare la protezione dei dati personali a prescindere dallo stabilimento del Titolare del trattamento
  • promuovere le PET’s attraverso l’introduzione di nuovi principi come la “Privacy by Design”

Il Commissario ribadisce che la protezione dei dati personali deve essere assicurata anche nelle piccole operazioni quotidiane, tipo il trasferimento di denaro, la prenotazione di un volo o il passaggio attraverso il controllo sicurezza in aeroporto.

Body scanner: perché i Cittadini dovrebbero mostrare proprie informazioni personali per dimostrare di non avere nulla da nascondere? La Reding ritiene che i body scanner siano troppo invasivi e la loro effettiva utilità sia tutta da dimostrare.

Stesso principio per l’enorme mole di nostri dati finanziari trasmessi agli Stati Uniti: sono effettivamente necessari, proporzionati ed utili, tutti gli SWIFT trasmessi oltreoceano per finalità di lotta al terrorismo?

Al Commissario Reding il nostro augurio di buon lavoro.