L’ultima adunanza plenaria del Parlamento europeo si è conclusa con l’adozione di alcune misure di rilievo in ambito privacy. Sono state, infatti, approvate norme volte ad introdurre sanzioni severe per quei partiti che violano il GDPR nel contesto delle elezioni europee. Il Parlamento ha inoltre dato il proprio assenso a che gli Stati membri ratifichino, nell’interesse dell’Unione europea, il protocollo che modifica la Convenzione 108 del Consiglio d’Europa sul trattamento dei dati personali, in modo da allinearla al GDPR.
Vediamo perché sono novità importanti.
Protezione dei dati personali nel contesto delle elezioni europee
Sulla scia dei recenti scandali connessi all’uso (o meglio all’abuso) di dati personali nell’ambito di svariate campagne politiche, il Parlamento europeo ha approvato nuove norme volte a contrastare e prevenire l’uso improprio di dati personali nelle prossime elezioni europee. Queste nuove norme verranno introdotte modificando un Regolamento del 2014 che disciplina lo statuto ed il finanziamento dei partiti politici europei e delle fondazioni politiche europee.
In tutti gli Stati membri dell’Unione europea, i partiti politici devono rispettare le norme del Regolamento Generale sulla Protezione dei Dati (GDPR) quando trattano dati personali nell’ambito di una campagna elettorale. Per facilitare il rispetto di tali norme, lo scorso settembre la Commissione europea ha pubblicato delle linee guida sull’applicazione del diritto dell’Unione in materia di protezione dei dati nel contesto elettorale.
Tuttavia, secondo la Commissione, le norme esistenti non dissuadono né sanzionano in maniera sufficientemente efficace le violazioni delle norme sulla protezione dei dati personali da parte di partiti politici europei.
Si è quindi deciso di rafforzare il quadro sanzionatorio esistente per garantire che le prossime elezioni europee si svolgano secondo regole democratiche rigorose e nel pieno rispetto dei diritti fondamentali, incluso il diritto alla protezione dei dati. Sulla scorta di ciò, le norme approvate dal Parlamento europeo mirano a dissuadere la violazione delle norme sulla protezione dei dati in ambito elettorale introducendo la possibilità di imporre sanzioni finanziarie severe a quei partiti politici europei o fondazioni politiche europee che abbiano violato le norme sulla protezione dei dati al fine di influenzare l’esito delle elezioni europee.
Le sanzioni ammontano al 5% del bilancio annuale del partito o della fondazione interessati, ma possono essere anche più elevate in caso di violazioni ripetute o di particolare gravità.
La procedura sanzionatoria potrà essere attivata da una qualsiasi delle autorità di controllo nazionali (come ad esempio il Garante privacy italiano), le quali sono tenute ad informare l’Autorità per i partiti politici europei e le fondazioni politiche europee qualora riscontrino violazioni delle norme sulla protezione dei dati che possano essere collegate ad attività politiche di un partito politico europeo o di una fondazione politica europea. Sarà poi quest’ultima Autorità ad imporre le sanzioni previste, ma solo dopo aver consultato uno specifico comitato europeo (detto “comitato di personalità indipendenti”), il quale dovrà essere chiamato ad esprimere un parere sul fatto che il partito politico europeo o la fondazione politica europea in questione abbiano o meno deliberatamente influenzato o tentato di influenzare l’esito delle elezioni europee, sfruttando una violazione delle norme sulla protezione dei dati personali.
In linea di principio, ai partiti politici possono essere imposte sanzioni anche ai sensi del GDPR. Tuttavia, le nuove regole chiariscono che nell’applicare le sanzioni è necessario tenere conto del principio del ne bis in idem, in base al quale il medesimo illecito non può essere sanzionato due volte.
È bene sottolineare come le norme appena descritte si applicano solo ai partiti europei e alle fondazioni politiche europee, che sono organizzazioni politiche registrate secondo il diritto dell’Ue, e non anche ai partiti e alle fondazioni politiche istituite a livello nazionale o regionale. Tuttavia, gli Stati membri sono incoraggiati ad applicare sanzioni adeguate anche a quest’ultime organizzazioni politiche nel caso si rendano responsabili di violazioni della normativa sulla privacy.
Le nuove regole dovranno essere formalmente approvate anche dal Consiglio dell’Unione europea prima che entrino formalmente in vigore. Tale passaggio formale dovrebbe avvenire entro il mese di aprile, in modo da permettere che le nuove norme entrino in vigore prima delle prossime elezioni europee, previste per maggio 2019.
Ratifica della Convenzione 108+
Durante l’ultima plenaria, Il Parlamento europeo ha anche dato la sua approvazione al progetto di decisione del Consiglio che autorizza gli Stati membri a ratificare il protocollo che modifica la Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (detta Convenzione 108).
Il protocollo di modifica aggiorna l’attuale Convenzione 108, adottata nel 1981, la quale è l’unico accordo multilaterale giuridicamente vincolante nell’ambito della protezione dei dati personali. La Convenzione aggiornata dal protocollo in questione è spesso detta Convenzione 108+.
La Convenzione 108 impone agli Stati che l’hanno ratificata (inclusa l’Italia e gli altri Stati membri dell’Ue) di integrare nelle rispettive legislazioni nazionali le misure necessarie per garantire il diritto alla privacy ed alla protezione dei dati personali.
L’aggiornamento della Convenzione 108 si è reso necessario per consentire alla Convenzione di fornire migliori soluzioni ai nuovi problemi legati allo sviluppo tecnologico e alla globalizzazione dell’informazione che sono emersi dal 1981 ad oggi, nonché per allineare il contenuto della Convenzione con quello del GDPR e della Direttiva 2016/680, in modo da escludere che gli Stati membri dell’Unione europea siano soggetti, in base alla normativa dell’Unione e del Consiglio d’Europa, a obblighi diversi e in contrasto tra loro.
La Convenzione 108 è aperta alla ratifica anche da parte di Stati extraeuropei ed ha svolto un ruolo fondamentale nel diffondere il “modello europeo di protezione dei dati” a livello mondiale, in quanto è spesso utilizzata come fonte di ispirazione da quei paesi che intendano adottare o aggiornare la loro normativa sulla protezione dei dati personali. Per un certo numero di paesi, l’adesione alla Convenzione 108 si è anche dimostrata un utile strumento di preparazione ai fini di un eventuale accertamento di adeguatezza da parte della Commissione europea per quanto riguarda il trasferimento di dati in questi paesi.
Il protocollo di modifica della Convenzione 108 introduce la possibilità per l’Unione europea di diventare Parte della convenzione aggiornata (ovvero della Convenzione 108+). Tuttavia, l’Unione europea non può firmare o ratificare il protocollo di modifica, dal momento che dell’attuale Convenzione 108 sono Parti soltanto i suoi Stati membri. Gli Stati membri dovrebbero pertanto essere autorizzati a ratificare il protocollo di modifica da parte del Consiglio dell’Unione europea, agendo congiuntamente nell’interesse dell’Unione.
L’assenso espresso dal Parlamento europeo alla proposta di decisione del Consiglio che autorizza gli Stati membri a ratificare, nell’interesse dell’Unione europea, il protocollo di modifica rappresenta quindi solo il primo step del processo che porterà l’Unione europea ad aderire alla Convenzione 108+. Quest’ultima entrerà in vigore dopo la ratifica da parte di almeno 5 Stati membri del Consiglio d’Europa. Al momento, nessuno Stato ha ancora ratificato il protocollo di modifica.
