Voto elettronico: il Garante privacy esprime parere favorevole

Il Garante per la protezione dei dati personali è stato chiamato a rendere parare relativamente allo schema di decreto del Ministro degli Affari esteri e della cooperazione internazionale (MEACI) attraverso il quale viene consentita la sperimentazione del voto elettronico in occasione del rinnovo dei Comitati italiani all’estero (c.d. Comites). I Comites sono organi elettivi che rappresentano le esigenze dei cittadini italiani residenti all’estero nei loro rapporti con gli uffici consolari.

>> Clicca QUI per leggere il parere del Garante privacy

Trattandosi di una sperimentazione, gli elettori hanno facoltà di aderirvi, potendo anche optare per la tradizionale modalità di votazione con scheda cartacea.

Dunque, attraverso lo schema di decreto di cui si tratta, viene consentito agli italiani iscritti all’AIRE da almeno sei mesi di usufruire di tale nuova procedura di voto accedendo al portale IOVoto, previo possesso delle credenziali di secondo livello rilasciate dal Sistema pubblico di Identità digitale.

In particolare, l’art. 2 del suddetto schema di decreto indica le finalità di tale procedura di voto sperimentata, specificando che essa è necessaria per verificare la conformità di una simile procedura a quanto disposto nell’art. 48 della Costituzione: ossia, se la modalità di voto elettronico rispetta i principi di personalità, eguaglianza, libertà e segretezza del voto ivi contenuti.

L’art. 3 dello stesso schema, invece, dispone che la votazione riguarderà l’elezione di 11 comitati e gli elettori riceveranno una campagna informativa messa a loro disposizione dagli uffici consolari.

Parere 19 novembre 2021 del Garante per la protezione dei dati personali
Parere sullo schema decreto del Ministero degli Affari esteri e della cooperazione internazionale sulla sperimentazione da parte del Maeci del voto elettronico in occasione del rinnovo dei Comitati degli italiani all’estero 2021 (Com.It.Es.) – 19 novembre 2021

Le modalità di voto elettronico previste dal Decreto

Per quanto concerne le modalità di voto, lo schema di Decreto prevede che, una volta effettuato l’accesso al portale, confermata l’informativa sul trattamento dei dati personali e il trattamento degli stessi ai fini del voto elettronico, viene assegnato all’elettore un codice univoco e personale (costituito da una stringa numerica di 8 cifre). Dopo aver ricevuto questo codice, l’elettore procede ad esprimere il proprio voto e a confermare la sua scelta.

Dopodiché, il voto viene trasmesso, in modalità criptata, alla banca dati preposta e l’elettore riceverà conferma che attesta l’avvenuto voto sperimentale, mantenendo anche in questa fase la massima segretezza: infatti, l’attestazione elettronica di conferma non mostra né il voto né le preferenze che sono state espresse.

Successivamente, ossia dopo aver proceduto alla raccolta di tutti i voti degli elettori, ha inizio la fase dello scrutinio durante la quale è previsto, ex art. 5 del Decreto, che una Commissione composta da cinque membri compia, da un lato, una serie di operazioni preliminari utili la garantire la correttezza della procedura e, dall’altro, una serie di operazioni “tecniche”. L’art. 6 del medesimo schema di decreto, invece, dispone che a cura dei medesimi soggetti sia redatta una relazione recante gli esiti della procedura di sperimentazione attuata e la praticabilità della stesse in occasioni future.

Sotto il profilo più tecnico, invece, il portale IOVoto dispone di due applicativi distinti: App A e App B. Quest’ultimi hanno la finalità di mantenere separati l’identità dell’elettore e il voto da questo espresso. Si tratta, infatti, di due applicativi che non interferiscono mai tra loro: App A contiene il profilo dell’utente elettore e non contiene la preferenza che lo stesso ha espresso; quest’ultima, infatti, è contenuta in APP B che, a sua volta, non contiene l’identità dell’utente.

Sono altresì predisposte ulteriori misure a garanzia non solo della segretezza del voto espresso dall’elettore, ma anche del trattamento e della conservazione dei dati personali degli elettori.

Le valutazioni del Garante

Il Garante, nell’esprime il parare relativamente allo schema di Decreto, avendo comunque tenuto in considerazione il fatto che si tratta di una procedura in via di sperimentazione e priva di effetti giuridici, ha ritenuto di dover sollevare alcune criticità che sono presenti nello stesso.

Innanzitutto, il Garante ha sottolineato che il consenso dell’elettore al trattamento dei dati personali ai fini del voto elettronico, previsto dall’art. 5 dello schema di Decreto, non deve essere confuso con il consenso al trattamento dei dati personali così come previsto dal GDPR. Nel caso di specie, infatti, ossia la sperimentazione del voto elettronico, la base giuridica su cui si fonda il trattamento dei dati personali deve essere ricondotta alle disposizioni legislative che introducono tale procedura, nonché allo schema di Decreto in esame, in quanto contiene la disciplina sulle modalità della procedura e prevede espressamente che si tratta di una partecipazione facoltativa dell’elettore.

Ulteriori criticità sono state evidenziate in riferimento al codice univoco e personale, di cui si è detto sopra, che viene trasmesso all’elettore una volta effettuato l’accesso al portale IOVoto.

In considerazione di questo profilo, infatti, il Garante ha sottolineato che l’invio di tale codice attraverso la posta elettronica non sia una soluzione idonea utile a garantirne la riservatezza. Tale soluzione andrebbe, dunque, a minacciare il principio di personalità di voto e il principio di riservatezza dello stesso.

Ancora, è necessario secondo il Garante introdurre idonee misure di sicurezza in considerazione del fatto che la procedura di voto richiede l’utilizzo da parte degli elettori di dispositivi elettronici che, a priori, non garantiscono un uso esclusivo o, comunque, un standard di sicurezza necessario per una tale procedura.

Inoltre, il Ministero degli affari esteri e della Cooperazione internazionale è stato, invitato dal Garante a predisporre nuove misure tecnico-organizzative utili a garantire il rispetto della normativa dettata in materia di SPID (DPCM 24 ottobre 2014), al fine di ridurre il rischio di violazione dei diritti e delle libertà dei titolari dei medesimi che partecipano alla procedura di sperimentazione accendendo attraverso la propria Identità Digitale.

Tuttavia, il Garante ha tenuto in considerazione il fatto che lo schema di Decreto è stato predisposto in conformità di quanto previsto nell’art. 35 GDPR. Infatti, ai sensi di questa norma, viene richiesto al titolare del trattamento un adempimento ulteriore nel caso in cui il trattamento futuro implichi un potenziale rischio elevato per i diritti e per le libertà dell’interessato. Tale situazione è possibile che accada nel caso in cui il trattamento richieda l’utilizzo di nuove tecnologie.

In particolare, , la norma richiede che, in tale circostanza, il titolare del trattamento effettui la c.d. “valutazione d’impatto sulla protezione dei dati” in modo tale da poter definire la natura e la gravità del potenziale rischio che potrebbe generarsi dalla procedura di trattamento.

Inoltre, il Garante ha tenuto in considerazione l’ulteriore fatto che lo schema di decreto è stato predisposto in conformità a quanto emerso dalle precedenti interlocuzioni informali che si erano svolte tra il Garante e lo stesso Ministero, relativamente:

  • alla necessità di precisazione del ruolo ricoperto dal Ministero stesso nella procedura;
  • alla necessità di indicare precisamente il termine di conservazione dei dati degli elettori;
  • ad alcune misure relative a garantire il corretto trattamento e la sicurezza dei dati personali dei votanti;
  • a misure aggiuntive di sicurezza e protezione inerenti il trasferimento dei dati fuori dal territorio dell’Unione Europea.

Tutto ciò precisato e considerato, il Garante ha espresso parare favorevole in riferimento allo schema di Decreto del Ministero degli affari esteri e della cooperazione internazionale, ritenendo che lo stesso sia conforme a quanto dettato in materia di protezione dei dati personali dal GDPR e dal Codice Privacy, invitando, tuttavia, il Ministero a prendere in considerazione le criticità che sono state precedentemente evidenziate e a predisporre a tal fine idonee misure di adeguamento.

Volume consigliato:

Compendio breve sulla privacy
Guida alla lettura del GDPR con esempi e casi praticiNello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari.24,00 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento