Il Garante per la privacy ha espresso il previsto parere sullo schema di regolamento che descrive le modalità di attuazione del Regolamento dell'Unione europea sull'"iniziativa dei cittadini", ponendo la condizione che sia rafforzata la procedura di verifica dei dati indicati nelle dichiarazioni di sostegno.

In base al Trattato sull'Unione (art. 11, comma 4), i cittadini europei possono far sentire direttamente la propria voce e prendere l'iniziativa d'invitare la Commissione europea a presentare proposte legislative su materie nelle quali ritengono necessario un intervento in attuazione dei trattati. L'"iniziativa dei cittadini" deve essere presentata alla Commissione da un comitato di organizzatori e deve avere il supporto di almeno un milione di firmatari cittadini dell'Unione.

Lo schema di regolamento, sottoposto all'esame del Garante dal Ministro per gli affari europei, prevede che le dichiarazioni di sostegno dei firmatari vengano redatte, su carta o per via elettronica, esclusivamente con appositi moduli che raccolgono solo i dati personali richiesti per la verifica degli Stati membri. La titolarità del trattamento dei dati è attribuita agli organizzatori e alle autorità competenti degli Stati interessati, responsabili della raccolta e conservazione dei dati e della loro distruzione nei tempi stabiliti. Lo schema prevede inoltre che l'autorità competente al controllo della sicurezza sulle procedure elettroniche sia l'Agenzia per l'Italia digitale (già Digit-PA), mentre al Dipartimento per gli affari interni e territoriali del Ministero dell'Interno è affidato il compito di accertare la ricevibilità, completezza e veridicità delle dichiarazioni di sostegno. Le verifiche vengono effettuate con controlli casuali a campione, chiedendo un riscontro sui dati ai Comuni e alle questure. Se tale riscontro non arriva entro trenta giorni dalla richiesta, la verifica si considera "favorevolmente accertata".

Proprio questo è, secondo il parere del Garante, il punto di debolezza dello schema. L'Autorità ha rilevato che questa procedura di verifica esclusivamente formale non è in linea con il Regolamento europeo che richiede "adeguati controlli" né con il Codice privacy, potendo comportare un trattamento di dati non veritieri o non verificati e, di conseguenza, inutilizzabili.

Il Garante ha inoltre osservato che le dichiarazioni di sostegno potrebbero riguardare anche dati sensibili dei sottoscrittori per i quali il Codice privacy prevede elevate garanzie per gli interessati. Per queste ragioni il Garante nell'esprimere parere sullo schema di regolamento, ha posto come condizione che venga prevista una procedura di verifica più conforme sia alla legislazione nazionale che a quella europea, eliminando dallo schema di regolamento ogni riferimento a sistemi di verifica puramente formale.