In data 8 Luglio 2021 l’Italia ha depositato la ratifica (avvenuta con Legge n.60/2021 ) del Protocollo di emendamento alla Convenzione per la protezione delle persone in materia di trattamento dei dati personali (c.d. Convenzione 108+) sottoscritto il 5 marzo 2019. Si tratta, ad oggi, dell’unico strumento sulla protezione dei dati vincolante a livello internazionale.
Nell'articolo
A chi si applica la Convenzione n.108?
La Convenzione n. 108 si applica a tutti i trattamenti di dati personali effettuati sia nel settore privato che nel pubblico, compresi quelli effettuati da autorità giudiziarie e di polizia. Essa protegge gli individui dagli abusi che possono accompagnare il trattamento dei dati personali e, allo stesso tempo, cerca di regolamentare i flussi transfrontalieri di dati personali.
Protezione dei dati personali: cosa dice la Convenzione n.108?
Per quanto concerne il trattamento dei dati personali, i principi stabiliti nella Convenzione riguardano, in particolare, la correttezza e la liceità della raccolta e del trattamento automatizzato dei dati, per specifici scopi legittimi. Ciò significa che i dati non devono essere destinati a un uso incompatibile con tali scopi, né conservati oltre il tempo necessario. Tali principi riguardano anche la qualità dei dati, in particolare in riferimento alla loro adeguatezza, pertinenza e non eccessività (proporzionalità) nonché esattezza.
Dati sensibili e trattamento dei dati
Oltre a fornire garanzie sul trattamento dei dati personali e gli obblighi relativi alla sicurezza dei dati, la Convenzione, in assenza di adeguate garanzie giuridiche, vieta il trattamento dei dati «sensibili», come la razza, le opinioni politiche, la salute, la religione, l’orientamento sessuale o il casellario giudiziale di un individuo.
Dati personali: diritti e restrizioni per le persone
La Convenzione sancisce inoltre il diritto dell’individuo di essere informato della conservazione di informazioni che lo riguardano e di chiederne la rettifica, se del caso. Le restrizioni dei diritti stabiliti nella Convenzione sono possibili solo quando sono in gioco interessi superiori, quali la sicurezza o la difesa dello Stato. Inoltre, la Convenzione prevede la libera circolazione dei dati personali tra le parti contraenti e impone alcune restrizioni su tali flussi verso paesi in cui la regolamentazione giuridica non conferisce una protezione equivalente.
Come si applica la Convenzione n.108?
Va osservato che la Convenzione n. 108 è vincolante per gli Stati che l’hanno ratificata. Essa non è soggetta al controllo giudiziario della Corte EDU, ma è stata tenuta in considerazione nella giurisprudenza della Corte EDU, nel quadro dell’articolo 8 della CEDU. Nel corso degli anni, la Corte ha stabilito che la protezione dei dati personali è una parte importante del diritto al rispetto della vita privata (articolo 8), e si è ispirata ai principi della Convenzione n. 108 per determinare se vi sia stata o meno un’ingerenza in questo diritto fondamentale.
La Convenzione n.108 in Italia
Per sviluppare ulteriormente i principi generali e le norme previste dalla Convenzione n. 108, il Comitato dei Ministri del CdE ha adottato diverse raccomandazioni giuridicamente non vincolanti. Queste raccomandazioni hanno influenzato lo sviluppo del diritto in materia di protezione dei dati in Europa. Ad esempio, per anni, l’unico strumento di orientamento in Europa riguardante l’utilizzo dei dati personali in ambito di polizia è stata la raccomandazione relativa alla disciplina dell’uso dei dati personali nell’ambito della pubblica sicurezza. I principi contenuti nella raccomandazione, come i mezzi per conservare i file di dati e la necessità di stabilire norme chiare sulle persone autorizzate ad accedere a tali file, sono stati ulteriormente sviluppati e sono stati ripresi nella successiva legislazione dell’UE.
Raccomandazioni più recenti sono volte ad affrontare le sfide dell’era digitale, ad esempio, in relazione al trattamento dei dati nel contesto dell’occupazione.
Ratifica della Convenzione n.108 in Europa
Tutti gli Stati membri dell’UE hanno ratificato la Convenzione n. 108, che nel 1999 è stata emendata per consentire all’UE di diventarne parte contraente. Nel 2001 è stato adottato un Protocollo addizionale alla Convenzione n. 108, che introduce disposizioni in materia di flussi transfrontalieri dei dati verso le parti non contraenti, i cosiddetti paesi terzi, e l’istituzione obbligatoria delle autorità nazionali di controllo per la protezione dei dati.
Ratifica della Convenzione n.108 nel Mondo
La Convenzione n. 108 è aperta all’adesione delle parti non contraenti del CdE. La portata della Convenzione come norma universale e il suo carattere aperto potrebbero costituire un presupposto per promuovere la protezione dei dati a livello mondiale. Ad oggi, 50 paesi sono parti contraenti della Convenzione n. 108. Essi comprendono tutti gli Stati membri del Consiglio d’Europa (47 paesi), l’Uruguay, il primo paese extraeuropeo che vi ha aderito, nell’agosto 2013, e Maurizio, Senegal e la Tunisia che vi hanno aderito nel 2016 e nel 2017.
L’aggiornamento della Convenzione n.108
La Convenzione è stata recentemente oggetto di un processo di modernizzazione. Una consultazione pubblica effettuata nel 2011 ha confermato i due obiettivi principali di tale lavoro: il rafforzamento della protezione della vita privata nel settore digitale e il consolidamento del meccanismo di attuazione della Convenzione. Il processo di modernizzazione era incentrato su tali obiettivi ed è stato completato il 18 aprile 2018 con l’adozione del protocollo di modifica della Convenzione n. 108 (Protocollo CETS No. 223). Il lavoro è stato svolto parallelamente ad altre riforme degli strumenti internazionali di protezione dei dati e contestualmente alla riforma della legislazione dell’UE sulla protezione dei dati, avviata nel 2012. I legislatori presso il Consiglio d’Europa e a livello dell’UE hanno posto massima attenzione nell’assicurare la coerenza e la compatibilità tra i due quadri normativi.
Come è stata aggiornata la Convenzione?
La modernizzazione mantiene il carattere generale e flessibile della Convenzione e ne rafforza il potenziale come strumento universale sul diritto in materia di protezione dei dati. Essa riafferma e consolida importanti principi e prevede nuovi diritti a vantaggio degli individui, ampliando al contempo le responsabilità delle entità preposte al trattamento dei dati personali e assicurando maggiore responsabilità. Ad esempio, le persone i cui dati vengono trattati hanno il diritto di venire a conoscenza del motivo di tale trattamento dei dati e il diritto di opporsi allo stesso.
Quali sono gli obiettivi della modernizzazione della Convenzione?
Per contrastare l’aumento dell’attività di profilazione nel mondo online, la Convenzione sancisce altresì il diritto dell’individuo a non essere assoggettato a decisioni fondate esclusivamente su trattamenti automatizzati, senza che siano prese in considerazione le sue opinioni. L’efficace applicazione delle norme in materia di protezione dei dati da parte di autorità di controllo indipendenti nelle parti contraenti è considerata essenziale per l’attuazione pratica della Convenzione. A tal fine, la Convenzione modernizzata sottolinea la necessità che le autorità di controllo siano dotate di poteri e funzioni efficaci e godano di un’autentica indipendenza nell’adempimento della loro missione.
Approfondisci sulla Protezione dei dati personali con EPC Editore!
Com’è cambiata la normativa nazionale in materia di protezione dei dati personali (d.lgs. n. 196/2003) a seguito dell’entrata in vigore del decreto di armonizzazione n. 101/2018?
Lo spiega un Volume di EPC Editore dal titolo: “Le nuove disposizioni nazionali sulla protezione dei dati personali – Il D.Lgs. n. 101/2018 di adeguamento al GDPR” . Il testo contiene una prima analisi del D.LGS. n. 101/2018 sull’adeguamento della normativa nazionale al GDPR – Tabella comparativa del Codice per la protezione dei dati personali prima e dopo il decreto di adeguamento.
La protezione dei dati personali su internet è oggetto di specifica trattazione anche all’interno del Volume: “Manuale di diritto di INTERNET” che affronta le principali ed innovative tematiche dell’informatica giuridica: l’ambito civile, penale, amministrativo e le tecnologie emergenti.
Formati con istituto Informa!
Per formarsi sulle tematiche del Trattamento dei Dati, suggeriamo il “CORSO DPO – Profili professionali relativi al trattamento e alla protezione dei dati personali” organizzato da Istituto Informa che rappresenta un percorso formativo articolato per le figure professionali indicate dalla nuova Norma UNI 11697:2017.
Tre moduli per una durata complessiva di 80 ore sulle conoscenze, le competenze e i compiti istituzionali di tali profili, particolarmente importanti in termini di responsabilità organizzative e personali, alla luce delle innovative disposizioni introdotte dal regolamento europeo sul trattamento dei dati personali (Regolamento UE 2016/679 del 27 aprile 2016) e dal D. Lgs 101/2018 di recepimento.
Scopri sul sito di Istituto informa tutti corsi in materia di Security – ICT e Privacy!
Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II. Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore
