È notizia recente la ratifica da parte dell’Italia della “ammodernata” Convenzione di Strasburgo n. 108, detta “108+”, dedicata alla protezione dei dati nei trattamenti automatizzati, proposta dal Consiglio d’Europa.
Il passo è importante, perché l’Italia era già firmataria del precedente testo del 1981 e rappresenta un tassello soprattutto per la gestione dei dati personali con Paesi terzi, a costituire una sorta di “ombrello” internazionale uniforme per una miglior protezione globale dei dati personali, la cui violazione assoggetta lo Stato al giudizio del Comitato della Convenzioni del Consiglio di Europa.
Rappresenta quanto di più vicino a un minimale di protezione garantita per le persone fisiche, seppure gli Stati firmatari non siano ancora tantissimi e vi siano assenze importanti.
Vediamo brevemente di capire di cosa si tratta e come si sono evolute le cose nel tempo.
Indice degli argomenti
La Convenzione 108 del 1981 e la versione “plus” del 2018
Nel 28 gennaio 1981 il Consiglio d’Europa (la principale organizzazione internazionale di difesa dei diritti umani, della democrazia e dello Stato di diritto, composta oggi da 47 Stati membri, di cui 27 membri dell’Unione) ha emanato tale Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale.
L’input derivava da due risoluzioni precedenti del Consiglio, del 1973 e 1974, consapevoli che il possesso e l’utilizzo di informazioni personali, in forma informatizzata, rechino parimenti la responsabilità sociale di salvaguardarle.
All’epoca l’informatica stava facendo passi da gigante e cresceva la preoccupazione circa le sempre più numerose decisioni basate su informazioni gestite tramite file informatici.
La Convenzione voleva comunque cercare un equilibrio tra protezione dei dati e flusso tra i vari Stati, rappresentando un moderno assetto di contemperamento di istanze contrapposte.
La sua importanza è data dall’essere tuttora l’unico strumento giuridicamente vincolante – a livello internazionale – nel suo ambito, ovviamente a seguito di sottoscrizione come patto tra Stati; anche Paesi non membri del Consiglio d’Europa possono aderirvi e la lista dei firmatari è pubblica – possiamo notare la sonora assenza degli Stati Uniti d’America.
L’oggetto della Convenzione è quello delle “collezioni automatizzate di dati a carattere personale e all’elaborazione automatica di tali dati nei settori pubblico e privato”. Ricordiamo che nel 1981 rappresentava una sensibile innovazione normativa, sebbene vi fossero dei precedenti come la Linee guida 1980 dell’OCSE (non vincolanti) sulla protezione della privacy e dei trasferimenti transfrontalieri dei dati personali.
Il fatto che il testo della Convenzione fosse tecnologicamente neutrale ha garantito una certa resistenza al passare del tempo, concentrandosi sui principi piuttosto che prescrizioni concrete. Il GDPR ha ovviamente un forte debito con tale precedente.
I principi originari della Convenzione 108
Tra i principi originari troviamo: la correttezza del trattamento, la liceità del trattamento, la finalità del trattamento, la qualità dei dati, l’uso di adeguate misure di sicurezza, i diritti basilari spettanti agli interessati (come quello di cancellazione).
Tutti principi oggi molto più noti anche grazie alle normative più recenti di protezione dei dati, ispirate anche al testo della Convenzione.
Tuttavia tra il 2016 e il 2018 – in contemporanea con l’entrata in vigore proprio del GDPR – il testo della Convenzione è stato rivisto, onde affrontare le nuove sfide tecnologiche. Sfociato in un protocollo di emendamento del testo precedente, da far ri-sottoscrivere ai precedenti firmatari per garantirne copertura applicativa, oltre a eventuali nuovi firmatari. Il protocollo definitivo è stato adottato il 18 maggio 2018.
Le innovazioni della Convenzione 108+
L’obiettivo è quello di “fornire un quadro multilaterale flessibile, trasparente e solido, facilitando il flusso di dati attraverso le frontiere, fornendo nel contempo garanzie efficaci contro gli abusi”, come dichiarato dal Consiglio. Quali le innovazioni principali? In breve il Consiglio le descrive come segue:
- il testo mantiene le disposizioni originarie, a livello di principio, da integrare con testi settoriali più dettagliati, mediante raccomandazioni o orientamenti;
- mira a garantire la coerenza e la compatibilità con altri quadri giuridici in materia di protezione dei dati, in particolare con l’Unione;
- mantiene disposizioni tecnologicamente neutre;
- riafferma il potenziale della Convenzione come norma di portata universale;
- amplia il ruolo del Comitato della Convenzione, controllante che le parti attuino efficacemente le disposizioni del trattato;
- garantire che il trasferimento transfrontaliero dei dati personali avvenga con adeguate garanzie e che sia compatibile con i quadri normativi di tutto il mondo – compresa la legislazione comunitaria -, specie in tempi post-Schrems II;
- requisiti più severi per quanto riguarda i principi di proporzionalità e minimizzazione dei dati e la legittimità del trattamento;
- estensione dei tipi di dati “sensibili”, a includere dati genetici e biometrici, l’appartenenza sindacale e l’origine etnica;
- l’obbligo di dichiarare eventuali data breach;
- maggiore trasparenza nel trattamento dei dati;
- nuovi diritti per le persone in un contesto decisionale algoritmico (particolarmente rilevanti in relazione allo sviluppo dell’intelligenza artificiale);
- maggiore responsabilità dei titolari del trattamento;
- requisito dell’applicazione del principio privacy by design;
- applicazione dei principi di protezione dei dati a tutte le attività di trattamento, anche per motivi di sicurezza nazionale, con possibili eccezioni e restrizioni soggette alle sole condizioni fissate dalla Convenzione, e in ogni caso con revisioni e una vigilanza che siano indipendenti ed efficaci;
- rafforzamento dei poteri e dell’indipendenza delle autorità per la protezione dei dati e rafforzamento della base giuridica per la cooperazione internazionale.
Di recente, nel gennaio 2021, proprio il Comitato consultivo della Convenzione ha emanato interessanti linee guida per i legislatori onde disciplinare le tecnologie di riconoscimento facciale, a testimonianza del continuo aggiornato interesse per il bilanciamento tra interessi d’impresa o di Stato e tutela dei dati.
La ratifica italiana e il suo significato per i titolari
In data 8 luglio l’Italia – ovvero l’Ambasciatore Michele Giacomelli, rappresentante permanente d’Italia presso il Consiglio d’Europa – ha dunque ratificato il rinnovato testo della Convenzione 108+ (il testo era già stato sottoscritto nel 2019, quale forma di autenticazione mancava la ratifica per renderlo vincolante).
Tale strumento si va a sommare alle normative già adottare dal nostro Paese per la protezione dei dati, ma focalizzata soprattutto nei confronti di Paesi che non siano comunitari.
Difatti, per l’area applicativa (territoriale e soggettiva) del GDPR e del nostrano Codice per la protezione dei dati personali la Convenzione non introduce nulla di nuovo, essendo stata piuttosto un’ispirazione per le regole unioniste.
Trasferimenti dati extra-UE, le nuove clausole standard non sono ancora una vera soluzione
Rappresenta invece uno strumento importante al di fuori di tali presupposti applicativi, specie verso Paesi esteri non comunitari. Specie oggi, in tempo di misure supplementari che si possono dover adottare per trasferire dati personali all’estero come richiesto dall’EDPB dopo la sentenza Schrems II, in Paesi non adeguati ai sensi dell’art. 45 GDPR (che richiama peraltro proprio l’adesione alla Convenzione per una valutazione di adeguatezza).
Uno strumento da sviluppare e ponderare, sia chiaro, a cura dei titolari stessi, ma che rappresenta una base importante per valutare se e come giustificare i trasferimenti in Paesi terzi.
Infine, va ricordato che la Convenzione 108+ è applicabile anche a un’area delicata e un po’ franca per i trattamenti di dati personali, come la sicurezza nazionale e la difesa – pur nel rispetto di eccezioni applicative considerate giustificabili in società democratiche.
