Introduzione

Lo scorso 5 marzo l’Italia ha firmato il Protocollo emendativo della Convenzione 108 sulla protezione degli individui rispetto al trattamento automatizzato dei dati personali.

Come riporta questo comunicato del Garante per la protezione dei dati personali, “l’adozione del Protocollo segna la conclusione del processo di modernizzazione della Convenzione 108, ad oggi l’unico strumento sulla protezione dei dati vincolante a livello internazionale”.

Background

La Convenzione 108, conclusa a Strasburgo il 28 gennaio del 1981 (qui il testo originale), costituisce il primo ed il più importante strumento pattizio in materia di protezione dei dati personali ad oggi esistente. Fu preceduta e prende ispirazione dalle Linee Guida dell’OCSE sulla protezione dei dati personali (aggiornate nel 2013, qui il testo originale e qui quello aggiornato), le quali, tuttavia, pur essendo un importante strumento di indirizzo non possiedono il potere vincolante della Convenzione 108.

Ad oggi la Convenzione 108 è stata ratificata da 54 paesi nel mondo (qui si può trovare la lista completa), ed è stata già modificata una volta per consentirne l’adesione anche dell’Unione Europea, che l’ha ratificata nel 1999.

L’Italia ha firmato la Convenzione 108 il 02 febbraio del 1983 e la stessa vi è in vigore dal luglio del 1997 (fonte: sito del Consiglio d’Europa).

Di notevole rilevanza è il fatto che la Convenzione 108 sia aperta a stati europei ed a stati non membri del Consiglio D’Europa, consentendo quindi la creazione di un framework normativo sulla protezione dei dati personali diffuso. Sono firmatari della Convenzione 108 infatti paesi come il Messico, l’Urugay e la Tunisia.

Il Comitato consultivo, istituito ai sensi dell’art. 18 della Convenzione 108, ha avviato nel gennaio del 2011 i lavori di modernizzazione della stessa, ritenendo necessario, da un lato, affrontare meglio le sfide derivanti dall’uso delle nuove tecnologie dell’informazione e della comunicazione, e dall’altra rafforzare l’attuazione della Convenzione 108. La versione finale del Protocollo emendativo è stata approvata dal Comitato dei Ministri del Consiglio d’Europa il 18 maggio 2018. La versione aggiornata della Convenzione 108 è stata chiamata “Convenzione 108+” (qui il testo aggiornato in inglese).

Al momento in cui questo testo viene pubblicato, il Protocollo emendativo è stato sottoscritto da 26 stati (qui la lista completa).

Aspetti principali

La Convenzione 108+ non tradisce lo spirito originale e l’obiettivo perseguito con l’originale Convenzione 108, ma ne rafforza i principi ed assume un tono più affermativo. Questo rafforzamento è evidente fin dall’art.1, che definisce ora la protezione dei dati personali degli individui parte integrante dei diritti fondamentali dell’uomo “The purpose of this Convention is to protect every individual, whatever his or her nationality or residence, with regard to the processing of their personal data, thereby contributing to respect for his or her human rights and fundamental freedoms, and in particular the right to privacy.

Le novità principali della Convenzione 108+ riguardano, fra le altre, la necessità di specifiche basi legali del trattamento previste per legge, a partire dal consenso del soggetto interessato (art. 5 comma 2), l’estensione delle categorie speciali di dati personali anche ai dati genetici, biometrici ed a quelli relativi all’origine etnica ed all’appartenenza sindacale (art. 6 comma 1), l’introduzione dell’obbligo di notifica dei data breaches (art. 7 comma 2), l’inserimento di un articolo sulla trasparenza che chiarisce le informazioni che devono essere comunicate ai soggetti interessati (art. 8), la creazione di ulteriori diritti in capo ai soggetti interessati (art. 9), l’introduzione di una valutazione (art. 10 comma 2) assimilabile alla Valutazione d’Impatto di cui all’art. 35 GDPR ed il trasferimento dei dati personali verso paesi non aderenti alla Convenzione 108.

Si ritiene importante segnalare come la comunanza di intenti ed il fatto che tutti i principi della Convenzione 108+ siano ripresi, ampliati e dettagliati nel Regolamento 679/2016 (GDPR) consente di comprendere come vi sia una direzione comune di molti stati, europei e non, verso una normativa in materia di protezione dei dati personali il più possibile uniforme e coerente.

Si noti ad esempio, con riferimento al trasferimento dei dati personali verso paesi che non sono parte della Convenzione 108+, come tale trasferimento, ai sensi dell’art. 14 , sia ritenuto legittimo unicamente se lo stato destinatario garantisca un livello di protezione adeguato agli standard fissati dalla Convenzione 108+; è difficile non notare come il GDPR, all’art. 45, sancisca un principio del tutto simile, appoggiandosi alle decisioni di adeguatezza quali strumenti per valutare, per l’appunto, che il livello di protezione offerto in un determinato Paese è adeguato (come già previsto dall’articolo 25, comma 6, della Direttiva 95/46/CE, abrogata dal GDPR).

Inoltre, il Considerando 105 del GDPR indica l’adesione alla Convenzione 108 quale elemento fondamentale nella valutazione degli stati terzi con riferimento alle decisioni di adeguatezza di cui all’art. 45 GDPR, che, come noto, consentono il trasferimento di dati personali verso il paese terzo che ne è oggetto (in ordine cronologico l’ultimo paese che ha ricevuto tale decisione è stato il Giappone, che tuttavia non è firmatario della Convenzione 108 al momento).

Implicazioni pratiche/prospettive

Data la natura della Convenzione 108+, la stessa non ha immediate ricadute pratiche tali da influenzare direttamente l’attività day by day di una società. Inoltre, poiché le previsioni della Convenzione 108+ sono in massima parte già contenute nel GDPR, una società che vi si conformi e faccia suo il principio di accountability che lo regge può definirsi in linea anche con quanto sancito con la Convenzione 108+.

Volendo invece guardare ai possibili effetti dell’aggiornamento della Convenzione 108 sul medio e lungo periodo, è auspicabile che l’ampio consenso ricevuto dalla stessa nella sua versione precedente si ripeta di nuovo. Maggiore sarà il numero di stati che aderirà alla Convenzione 108+, soprattutto con riferimento a quei paesi che non sono nello scope territoriale del GDPR, e più sarà vicino l’obiettivo di uniformare la protezione dei dati personali degli individui quale diritto fondamentale dell’essere umano.

Inoltre, da un punto di vista più pratico, come visto poc’anzi l’adesione alla Convenzione 108+ facilita l’ottenimento da parte di paesi extra SEE di una decisione di adeguatezza, consentendo quindi il trasferimento di dati personali verso tale paese e favorendone quindi gli scambi commerciali. Se la normativa in materia di dati personali fosse uniforme in molti stati, senza dubbio tutta l’economia data-driven in primis e il restante tessuto economico ne beneficerebbero grandemente.

Per chi volesse approfondire ulteriormente l’argomento, il CAHDATA, la Commissione Ad Hoc sulla protezione dei dati personali del Consiglio d’Europa, ha pubblicato una tabella, consultabile qui, comparativa delle modifiche apportate alla Convenzione 108 dal Protocollo emendativo; inoltre tutte le novità sono state riassunte in questo documento del Consiglio d’Europa.

Si suggerisce infine la lettura di questo leaflet, sempre del Consiglio d’Europa, che spiega e commenta nel dettaglio i singoli articoli della Convenzione 108+, nonché della pagina web del Consiglio d’Europa dedicata alla Convenzione 108, nella quale è possibile trovare numerose informazioni e documenti esplicativi.