Queste sono le prime le elezioni europee dove i temi del digitale hanno un ruolo centrale, in due ambiti: trasparenza e di garanzia del pluralismo e protezione dei dati personali.
Esaminiamo le misure adottate a livello europeo e italiano.
Elezioni e big data, un rapporto controverso
I dati, del resto, sono sempre più spesso un patrimonio da capitalizzare per molteplici operatori, compresi quelli politici. Come evidenziato dallo European Data Protection Board nel suo statement 2/2019 del 13 marzo 2019: “I partiti politici, le coalizioni politiche e i candidati si affidano sempre di più a dati personali e a sofisticate tecniche di profilazione per monitorare e targettizzare gli elettori e gli opinion leader. In pratica, gli individui ricevano messaggi e informazioni altamente personalizzati, specialmente sulle piattaforme di social media, sulla base di interessi personali, abitudini di vita e valori”.
Anche l’European Data Protection Supervisor, nella sua Opinion 3/2018 su manipolazione online e dati personali si era occupato del tema dell’utilizzo dei dati in contesti elettorali. In tale report, l’Europan Data Protection Supervisor sembra incoraggiare un corretto bilanciamento di diversi interessi in gioco quali la protezione dei dati e la trasparenza.
La sovrapposizione tra diversi interessi era stata evidenziata anche in Italia, dall’Agcom, nell’interim report rilasciato nel contesto dell’indagine conoscitiva sui Big Data, promossa insieme ad Agcm e Garante per la protezione dei dati personali. In tale documento, viene in particolare affrontato il difficile rapporto tra big data e ecosistema informativo.
L’analisi di dati aggregati, infatti, è collegata dall’autorità a fenomeni che incidono fortemente sulla corretta instaurazione del pluralismo informativo come, ad esempio, la tendenza a usufruire solo di informazioni coerenti con le proprie preferenze ideologiche, a causa dell’utilizzo di algoritmi che consentono la personalizzazione automatica dei contenuti visualizzati.
Pertanto, le misure adottate, sia a livello europeo che nazionale, hanno una portata ampia che include la protezione dei dati personali pur non limitandosi a quest’ultima.
Infatti, accanto alla privacy, altri temi chiave nel contesto della propaganda elettorale sono la trasparenza dei messaggi pubblicitari veicolati su Internet e la lotta alle cosiddette fake news.
Le iniziative europee in vista delle elezioni
In vista delle elezioni europee, la Commissione Europea ha emanato una raccomandazione, una comunicazione e delle linee guida, proprio relative al trattamento dei dati personali nel contesto della prossima tornata elettorale. In particolare, la Commissione incoraggia gli Stati membri e le loro autorità a cooperare per assicurare la tutela dei dati personali e, più in generale, della cyber sicurezza, al fine di scongiurare possibili minacce al corretto svolgersi del processo elettorale. Inoltre, la Commissione invita le autorità nazionali a sanzionare le violazioni delle regole in materia di protezione dei dati personali e a comunicare i provvedimenti presi all’Autorità per i partiti politici europei e le fondazioni europee.
Infatti, come sottolineato dalla Commissione stessa, la facilità delle comunicazioni online riduce le barriere e i costi di interazione con i cittadini dell’Unione ma, allo stesso tempo, aumenta la possibilità di creare pubblicità e comunicazioni elettorali personalizzate, non sempre trasparenti, e il rischio che i dati degli elettori siano trattati in modo illegittimo.
A tali atti sono, dunque, seguite iniziative variegate. In particolare, sono state approvate delle modifiche al regolamento (UE, ERATOM) n.1141/2014 finalizzate a sanzionare le condotte di movimenti e partiti politici che, non soltanto ledono la privacy, ma, allo stesso tempo, influenzano l’esito delle elezioni. Secondo tali regole, le sanzioni sarebbero irrogate all’esito di un procedimento che coinvolgerebbe l’Autorità per i partiti politici europei e le fondazioni europee, le autorità di controllo nazionali e a un comitato di personalità indipendenti, e potrebbero arrivare fino al 5% del bilancio annuale dei partiti o delle fondazioni.
Parallelamente a tale iniziativa, sul piano della trasparenza e del pluralismo, la Commissione ha promosso l’adozione di un Codice di buone pratiche contro la disinformazione: degli standard di autoregolamentazione contro la disinformazione, liberamente adottati da alcuni operatori economici. Il Codice si pone l’ambizioso obiettivo di favorire la cooperazione di alcuni attori del panorama digitale nel limitare la diffusione di informazioni ingannevoli e dannose per il sistema democratico e nell’assicurare maggiore trasparenza nel processo di pubblicazione delle inserzioni pubblicitarie elettorali. Allo stesso tempo, alcune delle “best practice”, condivise dalle imprese firmatarie, sono tese a contrastare l’utilizzo online di identità fasulle o di account falsi.
Le iniziative nazionali: Agcom
Anche le autorità italiane sono intervenute per assicurare che le elezioni europee si svolgano nel rispetto delle regole in materia di protezione di dati personali e che siano sempre garantiti trasparenza e pluralismo.
L’Autorità Garante delle comunicazioni ha avviato il “Tavolo Tecnico per la garanzia del pluralismo e della correttezza dell’informazione sulle piattaforme digitali’ istituito con la delibera n. 423/17/Cons.
Il Tavolo serve “al fine di promuovere l’adozione condivisa di misure di contrasto ai fenomeni di disinformazione e lesione del pluralismo informativo online”, scrive Agcom. Agcom si auspica il rispetto della par condicio anche sui social
Inoltre, l’Autorità si impegna “a promuovere, mediante procedure di autoregolamentazione, l’adozione da parte dei fornitori di piattaforme di condivisione di video di misure volte a contrastare la diffusione in rete, e in particolare sui social media, di contenuti in violazione dei principi sanciti a tutela del pluralismo dell’informazione e della correttezza e trasparenza delle notizie e dei messaggi veicolati”.
Qualche giorno fa, Agcom ha ha preso atto degli impegni delle piattaforme digitali, per il contrasto alla disinformazione.
Garante privacy ed elezioni europee
Da parte sua, invece, il Garante per la protezione dei dati personali ha emanato il 18 aprile 2019 un provvedimento in materia di propaganda elettorale e comunicazione politica.
Il Garante individua il consenso come presupposto di liceità d’eccellenza per il trattamento dei dati per finalità di propaganda elettorale. Tale consenso, per essere valido, deve essere specifico, informato e inequivocabile e, soprattutto, distinto da quello eventualmente acquisito per le finalità di marketing o di profilazione. In particolare, il consenso dovrà sempre essere richiesto dagli organismi associativi di carattere non politico che vogliano trattare i dati dei propri iscritti per fini di propaganda elettorale(es. sindacati, associazioni professionali o di categoria).
Non sarà necessaria l’acquisizione del consenso degli aderenti, invece, qualora lo statuto dell’associazione includa, trai propri scopi, il perseguimento di finalità politiche. Infatti, i dati relativi al proprio orientamento politico rientrano tra le particolari categorie di dati, di cui all’art. 9 del GDPR, e il loro trattamento è consentito alle associazioni che perseguano finalità politiche a specifiche condizioni, dettate dal paragrafo 2 lettera d del citato art. 9.
In primis, i dati devono riguardare gli aderenti o le persone che hanno regolari contatti con l’associazione. Secondariamente, tali dati non devono essere comunicati all’esterno. In tali casi, il trattamento, essendo strettamente relativo alle attività di carattere politico esplicitate nello statuto o nell’atto costitutivo dell’organismo associativo, potrà considerarsi legittimo. Diversa disciplina hanno, invece, i dati di simpatizzanti, sovventori o altri soggetti raccolti nel corso di attività specifiche (petizioni, raccolte firme ecc.). In tali casi, assente un’adesione più generale al soggetto politico, il trattamento richiederà un consenso specifico.
Il Garante ribadisce, inoltre, il divieto di trattare dati personali acquisiti o utilizzati nel corso dello svolgimento di attività istituzionali (ivi inclusi indirizzi di posta presenti negli Indici nazionali o dati degli elenchi di iscritti a albi collegi professionali) o raccolti nell’ambito di cariche elettive, funzioni pubbliche nonché di attività professionali, di impresa e di cura.
Allo stesso tempo, non potranno essere utilizzati, senza valido consenso, a fini di propaganda, i dati contenuti negli elenchi telefonici. Infatti, stante la differenza tra finalità promozionale e finalità politica, non trova applicazione la deroga di cui all’art. 130 che consente la possibilità di utilizzare tali dati con opt-out, previa consultazione del Registro delle opposizioni.
Il consenso è necessario anche per l’utilizzo di dati accessibili sui social network o messi a disposizione sui siti web per finalità di informazione aziendale, commerciale o per finalità associative.
Propaganda sui social, le regole del Garante Privacy
Nulla cambia qualora propaganda elettorale sia effettuata su social media (Facebook, Twitter, ecc) o su applicazioni di messaggistica istantanea (Whatsapp, Viber, ecc). Anche su tali canali, la comunicazione politica è sottoposta alla normativa sul trattamento dei dati personali e richiede, dunque, l’acquisizione di specifico consenso.
Via libera, invece, all’uso, sulla base del legittimo interesse, di fonti pubbliche quali liste elettorali presso i comuni, elenchi provvisori dei cittadini residenti all’estero, elenco degli elettori che votano all’estero e liste aggiunte dei cittadini elettori di uno Stato membro, nel rispetto delle regole che ne disciplinano l’accesso.
Nel caso di dati messi a disposizione da terzi, circostanza sempre più frequente, il soggetto politico cessionario è tenuto a verificare che la normativa in materia di protezione dei dati sia stata rispettata e che, in particolare, gli interessati abbiano prestato consenso specifico sia alla comunicazione che al trattamento dei dati per scopi di propaganda elettorale.
Che il trattamento sia basato sul legittimo interesse o sul consenso, è sempre necessario che l’interessato riceva un’adeguata informativa. Ai sensi degli articoli 13 e 14 del GDPR, infatti, l’interessato ha diritto a ricevere adeguata informativa sia in caso il titolare abbia direttamente raccolto i dati, sia nel caso che li abbia ricevuti da terzi (ad esempio, da cosiddetti “data broker”). Il Garante ammette, nel contesto elettorale, la possibilità di utilizzare delle forme semplificate di rilascio dell’informativa che risultino proporzionate al trattamento. Richiamando precedenti provvedimenti il Garante concorda con il rilascio di informativa semplificata nel caso di dati personali estratti dalle liste elettorali e trattati per un arco limitato di tempo legato alle consultazioni ovvero nel caso di materiale propagandistico di dimensioni ridotte che non renda possibile fornire un’informativa estesa in calce.
In tali casi, l’informativa potrà essere fornita su sito web o tramite annunci sui quotidiani, inserendo nel materiale elettorale un’email alla quale gli interessati possano rivolgersi per esercitare i loro diritti.
Particolare attenzione deve essere rivolta, inoltre, al ruolo svolto dai diversi soggetti che trattano dati nel contesto di attività di propaganda elettorale. In particolare, i servizi di comunicazione politica e propaganda elettorale potranno essere, a seconda delle loro attività, sia contitolari che responsabili del trattamento. Per valutare l’effettivo ruolo di tali operatori è necessario prendere in considerazione il potere decisionale sulle finalità e sui mezzi del trattamento e la titolarità dei database utilizzati.
Trasparenza e sicurezza delle elezioni nell’era di Internet
Il sistema europeo e nazionale ha in se gli anticorpi per poter cogliere le nuove opportunità di condivisione e partecipazione democratica offerte dal mondo digitale, senza subire danni dalle minacce provenienti dallo stesso panorama digitale .
In particolare, il GDPR stabilisce principi che garantiscono la trasparenza sulle operazioni di trattamento di dati, obbligando i titolari a informare gli interessati anche nel caso in cui i loro dati siano stati forniti da terzi. Le informative, oltre a contenere informazioni e finalità, devono chiaramente indicare eventuali processi di profilazione e di decisione automatica. Questi ultimi, nel contesto elettorale, sono sicuramente idonei ad incidere sui diritti e le libertà degli interessati e devono, dunque, essere sottoposti a consenso. Inoltre, il principio di limitazione delle finalità impedisce di utilizzare i dati per scopi diversi e incompatibili rispetto a quelli per cui sono stati raccolti. Esso si pone, quindi, come una forte garanzia per i cittadini, evitando fenomeni di “pesca a strascico” dei nostri dati personali.
Di grande importanza è, inoltre, il rispetto dei principi di limitazione della conservazione dei dati e dell’esattezza, da parte dei partiti e dei movimenti, i quali devono prendere misure interne idonee a tutelare le particolari categorie di dati che trattano su base quotidiana.
Le conseguenze di un trattamento illecito sono, infatti, particolarmente gravi nel contesto partitico e politico, incidendo su aspetti strettamente personali della vita degli interessati. Il rispetto del GDPR dovrebbe, pertanto, rappresentare un obiettivo primario per partiti e operatori politici in corsa per le prossime elezioni.
Particolare attenzione dovrà essere posta dai diversi operatori (partiti, comitati, servizi di comunicazione politica nonché di analisi dei dati) alla cyber sicurezza. E’ recente la notizia di una violazione dei dati degli aderenti alla Democratic Coalition (DK) ungherese.
Le misure adottate in materia di trasparenza e pluralismo si pongono nel solco di un sistema di autoregolamentazione e cooperazione. Tale approccio di autoregolamentazione potrebbe rivelarsi efficace nel garantire l’effettivo bilanciamento di tali interessi con la fondamentale libertà di espressione, qualora, alla prova dei fatti, riesca a garantire la cooperazione degli operatori digitali evitando stringenti obblighi di controllo e intervento che rischierebbero di danneggiare il sistema democratico e il mercato digitale.
Quello che manca a questo complesso sistema normativo e di autoregolamentazione instauratosi è una maggiore consapevolezza dei cittadini. E’, infatti, necessario mettere i cittadini a conoscenza dei diritti che gli spettano in termini di protezione dei dati personali e, allo stesso tempo, promuovere iniziative volte a incrementare la conoscenza dei meccanismi di propaganda elettorale.
