L’Agence de Protection des Données Personnelles pour la prochaine élection locale (élection du membre de l’organisation de représentation de l’unité d’autonomie locale et régionale et des maires municipaux, syndicats et préfets de leurs députés) fournit des lignes directrices et des recommandations que les partis politiques, les candidats et les autres participants doivent suivre pendant la procédure de demande et la campagne électorale, afin que le traitement des données personnelles des personnes interrogées ou des électeurs soit conforme au cadre juridique sur la protection des données personnelles.

Un parti politique, un candidat ou un autre participant à une campagne électorale, en tant que responsable du traitement des données, est guidé par les principes de protection des données à caractère personnel, qui sont prévus par l’article 5 du règlement général sur la protection des données, qui exige que les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; (limitation des finalités

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; (exactitude);

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (limitation de la conservation

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, (intégrité et confidentialité);

Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

BASE JURIDIQUE – une obligation pour chaque rappel et traitement des données personnelles

En particulier, nous soulignons que chaque souvenir et traitement des données personnelles dans le respect du Règlement Général sur la Protection des Données nécessite l’existence d’une base juridique. Pour cette raison, afin que le traitement soit licite, seulement si et dans la mesure où au moins l’une des conditions suivantes s’applique (article 6, paragraphe 1 du Règlement Général sur la Protection des Données):

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Les données relatives aux opinions politiques représentent des catégories particulières de données à caractère personnel selon les dispositions du règlement général sur la protection des données. Le traitement de ces données étant interdit par principe, le traitement requiert, outre une base juridique, l’une des exceptions mentionnées à l’article 9, paragraphe 2, du règlement général sur la protection des données, en tant que consentement explicite des personnes concernées à une ou plusieurs fins spécifiques.

PUBLICATION DES DONNÉES PERSONNELLES DU CANDIDAT

Si la base juridique du traitement des données à caractère personnel est une obligation légale du responsable du traitement des données ou l’exécution d’une mission d’intérêt public, cette base juridique est établie par les droits de l’Union européenne ou par les droits des États membres auxquels le responsable du traitement est soumis et cette base juridique détermine également les finalités du traitement. Pour une meilleure compréhension de la base juridique mentionnée ci-dessus, sont décrites ci-après les cessions les plus importantes dans lesquelles il est nécessaire de se souvenir et le traitement des données à caractère personnel:

• Conformément à l’article 21 de la loi sur le financement des activités politiques, de la campagne électorale et du référendum (OG 29/19 et 98/19), les partis politiques, les représentants indépendants et les conseillers doivent présenter des rapports sur les dons à la Commission électorale de l’État, qui est obligé de publier des rapports sur son site Web. Le rapport comprend le nom personnel, qui est composé par le nom et l’adresse, ainsi que le numéro d’identification du donateur, la date du paiement, le montant et le type de chaque don. Les données relatives à l’adresse d’une personne physique ne sont pas publiées.
• En outre, la loi sur l’élection locale (OG 144/12, 121/16 , 98/19 , 42/20 , 144/20) établit l’état de chaque candidat proposé dans la liste des candidats, le nom et le prénom du candidat, la résidence, la date de naissance, OIB et le sexe, pendant ce temps la nationalité est déclarée dans la candidature à l’adjoint au maire, au maire et au préfet parmi les membres des minorités nationales (articles 18 et 19).
• Les articles 23 et 26 de la même législation exigent, entre autres, que les données de toutes les listes de candidature soient insérées dans la liste de synthèse. Commission électorale compétente, dans les 48 heures suivant l’expiration des données de la candidature, publie dans les médias locaux et communiqué de presse, sur le babillard et sur le site Internet de l’unité : toute la liste des candidats valablement proposés et une liste récapitulative pour l’élection du membre de l’organe de représentation et une liste rapide des propositions valablement présentées au maire, à l’adjoint au maire et au préfet.
• L’article 102 de la même législation exige que la commission électorale, tout en déterminant les résultats des élections, publie sans délai le nom et le prénom du candidat qui a été élu maire, maire adjoint et préfet.

Ces cessions constituent la base juridique pour la mémorisation et le traitement (le terme comprend, entre autres, la publication) des données personnelles (nom, prénom, date de naissance, OIB, résidence, etc.) et des répondants, dans ce cas, les candidats, ne peuvent s’opposer à la communication publique de données personnelles. Le règlement général sur la protection des données s’applique également à ces données publiées publiquement, ainsi qu’à toutes les obligations et principes du règlement général sur la protection des données, en particulier le principe de légalité, de transparence et de spécification de la finalité, s’appliquent au traitement ou à l’utilisation de ces données (les données ne peuvent être utilisées qu’aux fins pour lesquelles elles ont été publiées).

ENVOI DE MESSAGES DE MARKETING AUX ÉLECTEURS

Les partis politiques et les candidats communiquent avec les électeurs et les électeurs potentiels par différents canaux afin de se promouvoir et de promouvoir leur programme. Afin de faire de la publicité et d’envoyer des messages promotionnels aux électeurs, cela peut, normalement, confiance sur le consentement de l’interviewé ou sur un intérêt légitime. Par exemple, si un électeur sympathise ou est membre d’un parti politique particulier et/ou de son donateur, il/elle peut s’attendre à recevoir des messages personnalisés du même parti politique, ou le parti politique ou le même candidat a un intérêt à envoyer ces messages. Afin de démontrer cet intérêt, le responsable du traitement effectue un test de proportionnalité, qui peut être téléchargé.

De toute façon, l’électeur a le droit de s’opposer à tout moment au traitement des données personnelles, ce qui signifie qu’il/elle peut s’opposer à la réception du message, peu importe s’il/elle a donné son consentement ou si le responsable du traitement des données a un intérêt légitime.

Ce droit est explicitement annoncé à l’électeur et lui est présenté d’une manière claire et différente des autres informations, cela signifie que chaque message de marketing doit également inclure une notification pour l’électeur qu’il / elle peut s’opposer à la réception de ces messages à tout moment. Si l’interviewé ou l’électeur s’oppose à la réception du message, le contrôleur de données ne peut plus l’envoyer.

En outre, si l’électeur s’y oppose et qu’il est traité à des fins de marketing direct, les données personnelles ne seront pas traitées pour ces raisons.

L’existence d’un processus décisionnel automatisé, y compris le profilage, qui produit des effets juridiques ou affecte l’électeur, est interdite.

La création de profils relatifs à l’envoi de messages ciblés à certains répondants peut influencer leur vote et, en principe, ne sera autorisée qu’avec le consentement explicite des répondants. Par exemple, un réseau social peut utiliser les informations personnelles que l’utilisateur publie sur son profil (adresse, âge, photos, intérêts, etc.), mais aussi des informations sur ce que l’utilisateur aime, telles que les pages visitées, quels achats, les données de localisation et ainsi de suite, afin de créer un profil utilisateur basé sur toutes ces données. D’après toutes ces données,

Les réseaux sociaux deviennent un canal de communication de plus en plus important par lequel les partis politiques, les candidats ou d’autres participants à la campagne envoient des messages personnalisés aux électeurs, avec l’utilisation croissante d’outils d’analyse prédictive sophistiqués, les techniques de profilage des électeurs et la publicité ciblée.

Les technologies modernes permettent une publicité ciblée basée sur un large éventail de critères et peuvent être définies sur la base de données personnelles que les utilisateurs d’Internet et des réseaux sociaux partagent et publient volontairement, mais aussi sur la base de données personnelles collectées par les réseaux sociaux ou des tiers . En d’autres termes, l’envoi de messages ciblés aux électeurs est un processus complexe qui peut impliquer différents acteurs, tels que les courtiers en données, les agences d’analyse marketing, les plateformes de médias sociaux et les réseaux publicitaires, et n’est souvent pas transparente et présente un risque grave pour la vie privée et le droit à la protection des données et la confiance dans l’intégrité du processus démocratique. Ces acteurs peuvent jouer un rôle important dans le processus électoral et le traitement des données à caractère personnel qu’ils effectuent est soumis au contrôle de l’Autorité de protection des données à caractère personnel.

INCLUSIVE

Dans tous les cas de publicité ciblée, compte tenu du principe de transparence, les électeurs devraient recevoir des informations adéquates expliquant pourquoi ils reçoivent un message particulier, qui est responsable du message et comment ils peuvent exercer leurs droits, y compris le droit de déposer une plainte auprès de l’organisme.

Par conséquent, l’Agence recommande que tous les partis politiques, candidats et autres participants à la campagne électorale s’adressent autant que possible aux citoyens et aux électeurs pour présenter leurs plans d’une manière qui n’inclut pas nécessairement le traitement de leurs données personnelles. (par exemple dans les médias, les forums publics, les dépliants, les brochures et autres documents non personnalisés dans lesquels ils présentent et expliquent leur programme). Pour l’envoi de brochures, de lettres, de dépliants et d’autres documents personnalisés (y compris l’envoi de SMS, de messages MMS ou de courriels) adressés à un citoyen/électeur particulier déclarant ses données personnelles, il est nécessaire de tenir compte de l’existence d’une base juridique visée à l’article 6, paragraphe 1 du règlement général sur la protection des données.

Il convient également de noter que, conformément à l’article 34 de la loi sur la mise en œuvre du règlement général sur la protection des données (OG 42/18), toute personne qui estime que son droit est garanti par le règlement général sur la protection des données et la loi sur la mise en œuvre du règlement général sur la protection des données a été violée. Demande à l’Office d’établir une violation des droits.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA CROAZIA