L’Italia firma il Protocollo emendativo della Convenzione 108
La Convenzione 108 conclusa a Strasburgo il 28 gennaio del 1981 nell’ambito del Consiglio d’Europa, rappresenta il primo strumento giuridico a livello europeo sulla protezione dei dati personali, nonché l’unico trattato internazionale in questa materia a essere giuridicamente vincolante.
Alla base dell’adozione della Convenzione vi era la consapevolezza, da parte degli Stati membri del Consiglio d’Europa, che l’art. 8 della CEDU (rubricato “diritto al rispetto della vita privata e familiare”) non poteva consentire, da solo, una protezione adeguata per i diritti fondamentali nell’ambito del trattamento di dati personali. In quest’ottica, la Convenzione 108 rappresenta una delle principali tappe nel percorso di emancipazione della protezione dei dati personali dal diritto al rispetto della vita privata; questo percorso si è poi concluso con l’adozione del Regolamento UE 2016/679 (GDPR), passando per l’adozione della Carta dei diritti fondamentali dell’Unione europea nel 2001, la quale considera privacy e protezione dei dati personali come due diritti distinti.
Negli ultimi anni, la Convenzione ha subìto due separati processi evolutivi. Da una parte, quello di internazionalizzazione, aprendosi alla firma e alla ratifica di stati non appartenenti al Consiglio d’Europa; in questo senso, la Convenzione costituisce una risorsa di fondamentale importanza nel processo di convergenza delle legislazioni nazionali degli stati terzi verso il modello europeo (cd. “Effetto Bruxelles”), dal momento che la ratifica della stessa costituisce un elemento a favore nella valutazione di adeguatezza da parte della Commissione europea nei confronti del diritto di uno stato terzo, di cui all’art. 45 GDPR.
L’altro processo intrapreso dalla Convenzione è quello di modernizzazione, che consiste nell’aggiornamento del testo originario, ormai in larga parte obsoleto, mediante l’adozione di un Protocollo emendativo i cui contenuti avvicinano la Convenzione agli obblighi stabiliti dal GDPR, rafforzando così a sua volta il processo di convergenza delle legislazioni mondiali verso il modello europeo.
Lo scorso 5 marzo l’Italia, già firmataria del testo originale della Convenzione, ha firmato il relativo Protocollo emendativo.
Leggi l’approfondimento di ICT Legal Consulting, studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.
Introduzione
Lo scorso 5 marzo l’Italia ha firmato il Protocollo emendativo della Convenzione 108 sulla protezione degli individui rispetto al trattamento automatizzato dei dati personali.
Come riporta questo comunicato del Garante per la protezione dei dati personali, “l’adozione del Protocollo segna la conclusione del processo di modernizzazione della Convenzione 108, ad oggi l’unico strumento sulla protezione dei dati vincolante a livello internazionale”.
Background
La Convenzione 108, conclusa a Strasburgo il 28 gennaio del 1981 (qui il testo originale), costituisce il primo ed il più importante strumento pattizio in materia di protezione dei dati personali ad oggi esistente. Fu preceduta e prende ispirazione dalle Linee Guida dell’OCSE sulla protezione dei dati personali (aggiornate nel 2013, qui il testo originale e qui quello aggiornato), le quali, tuttavia, pur essendo un importante strumento di indirizzo non possiedono il potere vincolante della Convenzione 108.
Ad oggi la Convenzione 108 è stata ratificata da 54 paesi nel mondo (qui si può trovare la lista completa), ed è stata già modificata una volta per consentirne l’adesione anche dell’Unione Europea, che l’ha ratificata nel 1999.
L’Italia ha firmato la Convenzione 108 il 02 febbraio del 1983 e la stessa vi è in vigore dal luglio del 1997 (fonte: sito del Consiglio d’Europa).
Di notevole rilevanza è il fatto che la Convenzione 108 sia aperta a stati europei ed a stati non membri del Consiglio D’Europa, consentendo quindi la creazione di un framework normativo sulla protezione dei dati personali diffuso. Sono firmatari della Convenzione 108 infatti paesi come il Messico, l’Urugay e la Tunisia.
Il Comitato consultivo, istituito ai sensi dell’art. 18 della Convenzione 108, ha avviato nel gennaio del 2011 i lavori di modernizzazione della stessa, ritenendo necessario, da un lato, affrontare meglio le sfide derivanti dall’uso delle nuove tecnologie dell’informazione e della comunicazione, e dall’altra rafforzare l’attuazione della Convenzione 108. La versione finale del Protocollo emendativo è stata approvata dal Comitato dei Ministri del Consiglio d’Europa il 18 maggio 2018. La versione aggiornata della Convenzione 108 è stata chiamata “Convenzione 108+” (qui il testo aggiornato in inglese).
Al momento in cui questo testo viene pubblicato, il Protocollo emendativo è stato sottoscritto da 26 stati (qui la lista completa).
Aspetti principali
La Convenzione 108+ non tradisce lo spirito originale e l’obiettivo perseguito con l’originale Convenzione 108, ma ne rafforza i principi ed assume un tono più affermativo. Questo rafforzamento è evidente fin dall’art.1, che definisce ora la protezione dei dati personali degli individui parte integrante dei diritti fondamentali dell’uomo “The purpose of this Convention is to protect every individual, whatever his or her nationality or residence, with regard to the processing of their personal data, thereby contributing to respect for his or her human rights and fundamental freedoms, and in particular the right to privacy.”
Le novità principali della Convenzione 108+ riguardano, fra le altre, la necessità di specifiche basi legali del trattamento previste per legge, a partire dal consenso del soggetto interessato (art. 5 comma 2), l’estensione delle categorie speciali di dati personali anche ai dati genetici, biometrici ed a quelli relativi all’origine etnica ed all’appartenenza sindacale (art. 6 comma 1), l’introduzione dell’obbligo di notifica dei data breaches (art. 7 comma 2), l’inserimento di un articolo sulla trasparenza che chiarisce le informazioni che devono essere comunicate ai soggetti interessati (art. 8), la creazione di ulteriori diritti in capo ai soggetti interessati (art. 9), l’introduzione di una valutazione (art. 10 comma 2) assimilabile alla Valutazione d’Impatto di cui all’art. 35 GDPR ed il trasferimento dei dati personali verso paesi non aderenti alla Convenzione 108.
Si ritiene importante segnalare come la comunanza di intenti ed il fatto che tutti i principi della Convenzione 108+ siano ripresi, ampliati e dettagliati nel Regolamento 679/2016 (GDPR) consente di comprendere come vi sia una direzione comune di molti stati, europei e non, verso una normativa in materia di protezione dei dati personali il più possibile uniforme e coerente.
Si noti ad esempio, con riferimento al trasferimento dei dati personali verso paesi che non sono parte della Convenzione 108+, come tale trasferimento, ai sensi dell’art. 14 , sia ritenuto legittimo unicamente se lo stato destinatario garantisca un livello di protezione adeguato agli standard fissati dalla Convenzione 108+; è difficile non notare come il GDPR, all’art. 45, sancisca un principio del tutto simile, appoggiandosi alle decisioni di adeguatezza quali strumenti per valutare, per l’appunto, che il livello di protezione offerto in un determinato Paese è adeguato (come già previsto dall’articolo 25, comma 6, della Direttiva 95/46/CE, abrogata dal GDPR).
Inoltre, il Considerando 105 del GDPR indica l’adesione alla Convenzione 108 quale elemento fondamentale nella valutazione degli stati terzi con riferimento alle decisioni di adeguatezza di cui all’art. 45 GDPR, che, come noto, consentono il trasferimento di dati personali verso il paese terzo che ne è oggetto (in ordine cronologico l’ultimo paese che ha ricevuto tale decisione è stato il Giappone, che tuttavia non è firmatario della Convenzione 108 al momento).
Implicazioni pratiche/prospettive
Data la natura della Convenzione 108+, la stessa non ha immediate ricadute pratiche tali da influenzare direttamente l’attività day by day di una società. Inoltre, poiché le previsioni della Convenzione 108+ sono in massima parte già contenute nel GDPR, una società che vi si conformi e faccia suo il principio di accountability che lo regge può definirsi in linea anche con quanto sancito con la Convenzione 108+.
Volendo invece guardare ai possibili effetti dell’aggiornamento della Convenzione 108 sul medio e lungo periodo, è auspicabile che l’ampio consenso ricevuto dalla stessa nella sua versione precedente si ripeta di nuovo. Maggiore sarà il numero di stati che aderirà alla Convenzione 108+, soprattutto con riferimento a quei paesi che non sono nello scopeterritoriale del GDPR, e più sarà vicino l’obiettivo di uniformare la protezione dei dati personali degli individui quale diritto fondamentale dell’essere umano.
Inoltre, da un punto di vista più pratico, come visto poc’anzi l’adesione alla Convenzione 108+ facilita l’ottenimento da parte di paesi extra SEE di una decisione di adeguatezza, consentendo quindi il trasferimento di dati personali verso tale paese e favorendone quindi gli scambi commerciali. Se la normativa in materia di dati personali fosse uniforme in molti stati, senza dubbio tutta l’economia data-driven in primis e il restante tessuto economico ne beneficerebbero grandemente.
Continua a leggere qui.
In collaborazione con
ICT Legal Consulting è uno studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.
