Piattaforma di raccolta firme per i referendum: il Garante Privacy si esprime.

Il Garante della Privacy è stato interpellato dal MITD (Ministero  per l’innovazione tecnologica e la transizione al digitale) per un parere sulla bozza di decreto (un D.P.C.M.) che, di concerto con il Ministero della Giustizia, dovrebbe istituire una piattaforma online (www.firmereferendum.gov.it) per agevolare la raccolta telematica di firme a sostegno delle proposte di referendum. Il parere messo è tutt’altro che tenero e mette in luce alcune carenze che difficilmente potranno essere corrette al volo, richiedendo, perciò, una completa rivisitazione del testo di legge.
Appare opportuno premettere che sul piano dei principi e in relazione ai profili di competenza in materia di protezione dei dati personali, non vi sono ostacoli da parte di questa Autorità all’’introduzione di strumenti – come quello configurato di una piattaforma per la raccolta delle firme da remoto degli elettori a fini referendari, recanti modalità di trattamento volte a agevolare lo sviluppo equilibrato e sostenibile dei servizi offerti ai cittadini in una società democratica, la cui prospettiva sia un rafforzamento della tutela dei diritti fondamentali dell’individuo alla luce della evoluzione della società, del progresso sociale e degli sviluppi scientifici e tecnologici.
Il Garante riconosce la necessità – in linea di principio – di istituire uno strumento del genere per far evolvere l’esercizio del diritto di proposta referendaria da parte dei cittadini ma…
Le carenze che, tuttavia, il decreto in esame presenta nel disciplinare la piattaforma per la raccolta delle firme degli elettori necessarie per i referendum, sono assai significative (…)
Il Garante approfondisce la propria valutazione iniziando a esprimere dubbi già sulla figura che dovrebbe gestire detta piattaforma, giacché essa mira a far esercitare importantissime funzioni democratiche costituzionalmente rilevanti.
l’Autorità ha rilevato che la titolarità della piattaforma è affidata in gestione ad un soggetto terzo, ancora da individuare, a cui è rimesso l’intero sviluppo tecnologico dell’infrastruttura stessa mediante la definizione dei profili tecnici che saranno contenuti in un manuale operativo, peraltro da redigersi da parte del futuro gestore e sottratti all’esame di questa Autorità, nonché del Ministero della giustizia quale amministrazione concertante.
Nel testo del decreto si spiega che la gestione della piattaforma verrebbe data in outsourcing a un terzo privato (mi chiedo: SOGEI?) non ancora individuato e al quale verrebbe affidato il compito di definire lo sviluppo della tecnologia necessaria nonché la redazione di un manuale operativo ad uso e consumo interno: Garante e Ministero della Giustizia, quindi, verrebbero esclusi da un controllo sul corretto sviluppo di quella tecnologia e della conformità alle normative vigenti in materia di trattamento dati personali. In sostanza: si starebbe per creare una sorta di “Piattaforma Rousseau 2.0” non del tutto assoggettata al controllo degli organi istituzionali. Il Garante sottolinea che già la raccolta tradizionale di firme per un referendum consente di inquadrare (grosso modo) l’orientamento politico/ideologico dei sottoscrittori ma dal testo del decreto si evince che questa circostanza non sia tenuta nella dovuta considerazione e, in astratto, consentirebbe al gestore terzo di utilizzare i dati raccolti per finalità difformi da quelle per cui la piattaforma verrebbe creata.
Lo schema in esame avrebbe dovuto individuare puntualmente i ruoli dei vari soggetti coinvolti nei trattamenti di dati personali connessi ai processi disciplinati dal decreto stesso, tra i quali il citato gestore della piattaforma, nonché introdurre adeguate garanzie in termini di trasparenza nei confronti degli interessati, nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità. Gli aspetti di sicurezza avrebbero dovuto essere focalizzati, al fine di una loro compiuta valutazione preliminare, non solo sui tradizionali rischi informatici relativi alle componenti infrastrutturali e ai servizi erogati, ma anche sulla potenziale lesività (rispetto a diritti e libertà delle persone fisiche) dei trattamenti che potranno essere realizzati, prevedendo idonee misure e accorgimenti per garantire la confidenzialità, l’integrità e la disponibilità dei dati e per prevenire violazioni dei dati personali trattati.
Il passaggio in cui il Garante lamenta la sottrazione del controllo sulle modalità di raccolta dei dati della piattaforma è questo:
Per quanto riguarda la funzionalità, in concreto, della piattaforma, il decreto prevede al riguardo che essa “mediante una specifica funzionalità descritta nel manuale operativo […] acquisisce il nome, il cognome, il luogo e la data di nascita del sottoscrittore, il comune nelle cui liste elettorali è iscritto ovvero, per i cittadini italiani residenti all’estero, la loro iscrizione nelle liste elettorali dell’Anagrafe degli italiani residenti all’estero, nonché, ove disponibile, l’attributo elettore presente in ANPR”
La lacuna è fin troppo evidente anche per chi non è esperto della materia: il decreto non illustra immediatamente le modalità di raccolta dei dati dei sottoscrittori ma fa un semplice rinvio al manuale operativo, un’opera di futura realizzazione affidata al gestore privato – ancora da individuare – e senza alcun controllo da parte dell’Autorità competente in materia. Molto malignamente mi viene da pensare che chi ha redatto il testo non ha effettuato alcuna indagine tecnica preventiva e, molto ingenuamente, ha pensato “beh, tanto i dati sono pubblici perché presente in ANPR“.
tali elementi, come prevede la disposizione legislativa, dovevano essere contenuti nello schema di decreto in esame, eventualmente, anche nell’ambito di un allegato tecnico, parte integrante del decreto stesso. Né sembra potersi sostenere che il rinvio produce come unica conseguenza il differire a un momento successivo il vaglio del Garante sui predetti aspetti sia perché l’attuale schema di DPCM non prevede tale eventualità, sia perché qualora effettivamente le valutazioni del Garante dovessero intendersi rinviate a un momento successivo rispetto alla realizzazione della piattaforma, ogni difformità riscontrata, rilevante sotto il profilo privacy, si tradurrebbe nell’esigenza di modificare la piattaforma stessa con un aggravio di oneri e costi incompatibile con ogni regola di prudente gestione delle risorse pubbliche.
E questa è solo la premessa al parere. Il parere è molto lungo è potete leggerlo a questa pagina.