Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

IoT & PMI: quali regole seguire per implementare progetti IoT nella propria organizzazione? Secondo recenti indagini, negli ultimi anni il ricorso alle tecnologie dell’Internet degli Oggetti (Internet of Things - IoT) ha visto un importante balzo in avanti nel settore…

GDPR e trasferimento dati: aggiornate le decisioni di adeguatezza con la svizzera in primo piano   Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE ha stabilito regole stringenti per il trasferimento di dati personali oltre i confini europei. Secondo l'Articolo…

Fare Impresa con i Dati: l'Eccellenza in Brianza Siamo felici di essere stati protagonisti della rubrica “Imprese e Lavoro” del quotidiano La Provincia di Como di questa settimana. Un’occasione per confermare le nostre abilità e capacità che offriamo alle aziende…

La privacy fra i pilastri della sostenibilità d’impresa: 10 suggerimenti per la rendicontazione ESG Gli investimenti in ESG continuano ad aumentare: secondo recenti indagini le aziende sono oggi più consapevoli dell’importanza della rendicontazione sulla sostenibilità, sia per rendere più verde…

Natale e privacy: raccomandazioni per la data protection Durante le feste, ogni anno, si moltiplicano le minacce per la privacy. I rischi più comuni derivano sia da fonti esterne, quali cyber criminali che puntano sullo spirito natalizio per sferrare attacchi…

Password sicure, come fare? Nuove Linee Guida del Garante e ACN Con il Provvedimento del 7 dicembre 2023  l’Autorità Garante per la protezione dei dati personali ha adottato le “Linee Guida Funzioni Crittografiche – Conservazione delle Password”, che includono sia…

La Convenzione 108+ si avvicina all'entrata in vigore: cosa sapere e cosa aspettarsi

La Convenzione 108 riveste un ruolo chiave nell’affermazione, a livello globale, del diritto alla privacy: si tratta, infatti, dell’unico strumento internazionale giuridicamente vincolante in materia di protezione dei dati personali. L’adozione del protocollo di aggiornamento (la c.d. Convenzione 108 +), è, quindi, fondamentale per rinnovare il contenuto della norma e rinvigorire gli scopi, di interesse collettivo, perseguiti.
A partire dall’11 ottobre 2023, la sua entrata in vigore è condizionata alla ratifica da parte di almeno trentotto Stati contraenti. A che punto siamo? 

 

 

 

La Convezione 108: perché è importante?

Molto tempo prima dell’era di Internet e delle comunicazioni elettroniche, il 28 gennaio 1981, la “Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale” (Convenzione 108) è stata aperta alla firma. A memoria dell’importanza di questa data, nel 2006, il Consiglio d’Europa ha deciso di istituire la Giornata della protezione dei dati (“Giornata della privacy”), celebrata a livello mondiale e al di fuori dell’Europa, con attività istituzionali e campagne mirate ad accrescere la consapevolezza sui diritti alla protezione dei dati e alla privacy.

In che modo questo atto normativo ha generato una ricorrenza di tale portata? Da dove deriva la sua importanza?

La Convenzione 108 rappresenta l’unico trattato internazionale giuridicamente vincolante nell’ambito della protezione dei dati personali. La sua introduzione, inoltre, ha determinato uno storico cambiamento di paradigma: si è passati da un’interpretazione del concetto di privacy inteso come tutela della vita privata e famigliare, della casa, della corrispondenza, nonché dell’onore e della reputazione (articolo 12 della Dichiarazione universale dei diritti dell’uomo del 1948, ripreso dall’articolo 8 della Convenzione europea dei diritti dell’uomo del 1950), ad una visione più ampia, tale da ricomprendere, nella sfera oggetto di tutela, la protezione dei dati personali.

“Articolo 1 – Oggetto e scopo

Scopo della presente Convenzione è quello di garantire, sul territorio di ciascuna Parte, ad ogni persona fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano («protezione dei dati»)”.

Il campo di applicazione della Convenzione 108 abbraccia, quindi, tutte le operazioni di elaborazione automatizzata di dati a carattere personale, nei settori pubblico e privato.

La norma, in quanto accordo quadro internazionale, impone alle singole parti aderenti di adottare, nei rispettivi ordinamenti, uno standard minimo di misure a tutela dei soggetti interessati. Dal 1981, cinquantacinque Stati in quattro continenti hanno ratificato la Convenzione ed accolto le relative disposizioni. L’Italia ha recepito la norma con estremo ritardo, attraverso la Legge n. 98 del 21 febbraio 1989.

 

Revisione della Convenzione 108

Per quanto la norma potesse essere, a suo tempo, innovativa, l’evoluzione dei mezzi tecnologici e delle modalità di trattamento dei dati personali ha determinato la necessità di avviare un processo di revisione. Tale processo, partito nel 2012 con il primo progetto di modernizzazione, è stato finalizzato solo nel 2018, quando il Protocollo n. 223 è stato aperto alla firma, dando vita alla c.d. “Convenzione 108 +”.

Obiettivi e caratteristiche della norma sono rimasti intatti (preservando così il nucleo fondamentale che costituisce la ratio della Convenzione originaria), mentre le sue disposizioni sono state riviste in sinergia con le più recenti fonti comunitarie (prima fra tutte il GDPR). Come detto, il processo di modernizzazione affronta le sfide alla privacy derivanti dall’uso delle nuove tecnologie dell’informazione e della comunicazione e rafforza il meccanismo della Convenzione per garantirne una effettiva attuazione.

Fra le principali novità troviamo:

  • La definizione del principio di liceità, ampliato ed esteso alla tutela delle categorie speciali / particolari di dati;
  • L’introduzione di nuove garanzie per le persone fisiche alle quali si riferiscono i dati personali trattati, fra cui l’obbligo di valutare il probabile impatto di un’operazione di trattamento dei dati che si intende effettuare, l’obbligo di adottare le opportune misure tecniche e organizzative e l’obbligo di segnalare gravi violazioni dei dati;
  • Il rafforzamento dei diritti già previsti (in particolare, trasparenza e accesso ai dati);
  • L’integrazione, ai diritti esistenti, di nuovi diritti degli interessati, fra cui il diritto di non essere sottoposti a una decisione basata unicamente su un trattamento automatizzato che arrechi un pregiudizio significativo alle persone, il diritto di opporsi al trattamento e di disporre di un ricorso in caso di violazione dei diritti della persona;
  • La designazione di Autorità indipendenti a garanzia del rispetto delle disposizioni della Convenzione, con potere di emanare decisioni e di imporre sanzioni amministrative.

 

Infine, la nuova Convenzione, attraverso l’articolo 14 (che va a riformulare il precedente articolo 12) mira anche a facilitare la libera circolazione dei dati tra gli Stati che vi aderiscono, tanto che il considerando 105 del GDPR ne prevede un esplicito richiamo, ai fini della valutazione dell’adeguatezza dei Paesi terzi in capo alla Commissione (“la Commissione dovrebbe tenere in considerazione gli obblighi derivanti dalla partecipazione del paese terzo o dell’organizzazione internazionale a sistemi multilaterali o regionali, soprattutto in relazione alla protezione dei dati personali, nonché all’attuazione di tali obblighi. In particolare si dovrebbe tenere in considerazione l’adesione dei paesi terzi alla convenzione del Consiglio d’Europa, del 28 gennaio 1981, sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale e relativo protocollo addizionale”).

 

Il “Club” 108 + e l’adesione dell’Italia

Sin dall’apertura della Convenzione così modernizzata, il Consiglio di Europa ha incoraggiato tutti i Paesi alla ratifica. Far parte del c.d. “Club” di Stati aderenti alla Convenzione, infatti, significa:

  • Qualificarsi come Paesi “virtuosi” della data protection e, quindi, attori sicuri nel mercato dei dati personali;
  • Garantire standard di protezione dei dati elevati e fornire una protezione per le persone fisiche senza precedenti, in un mondo di flussi di dati globalizzati;
  • Assicurarsi mutua assistenza e cooperazione internazionale.

 

Secondo quanto dichiarato dal Consiglio: “L’adesione ora darà ai nuovi Stati membri l’opportunità di plasmare il futuro della protezione dei dati e di mantenere il libero flusso dei dati in tutto il mondo”.

Il 10 maggio 2021 l’Italia ha pubblicato in Gazzetta Ufficiale la legge n. 60 di “Ratifica ed esecuzione del Protocollo di modifica alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, fatto a Strasburgo il 10 ottobre 2018”. In tale occasione l’Autorità Garante ha ribadito che “La Convenzione 108 svolge un ruolo fondamentale nel diffondere il “modello europeo di protezione dei dati” a livello mondiale, essendo spesso utilizzata come fonte di ispirazione dai Paesi che intendono adottare nuove normative in materia di rispetto della vita privata o armonizzare quelle già esistenti con gli standard internazionali”.

 

Chi ha aderito alla Convenzione 108 plus?

Ad oggi (30 ottobre 2023), il “Club” 108 +, ovvero l’insieme di Paesi che hanno ratificato il Protocollo di aggiornamento, è composto da trenta Stati (qui  la lista completa costantemente aggiornata). Ci avviciniamo quindi al raggiungimento della soglia minima di trentotto Paesi per l’entrata in vigore.

Ricordiamo, infatti, che l’articolo 37 della Convenzione 108 modernizzata prevede due opzioni in relazione all’entrata in vigore delle relative disposizioni:

  1. La prima opzione stabiliva l’entrata in vigore della norma “il primo giorno del mese successivo allo scadere di un periodo di tre mesi dalla data in cui tutte le Parti della Convenzione avranno espresso il loro consenso a essere vincolate dal Protocollo”. L’adesione da parte di tutti e 55 i Paesi nei termini così definiti, tuttavia, non si è verificata;
  2. La seconda opzione, invece, prevede che “allo scadere di un periodo di cinque anni dalla data in cui è stato aperto alla firma, il Protocollo entrerà in vigore nei confronti degli Stati che hanno espresso il loro consenso ad essere vincolati da esso […], a condizione che il Protocollo abbia almeno trentotto Parti”.

 

L’11 ottobre 2023, sono ufficialmente trascorsi cinque anni dalla data in cui il Protocollo è stato aperto alla firma. Solo negli ultimi due mesi abbiamo assistito alla ratifica da parte della Confederazione Elvetica (quiPortogallo (qui) e, in ultimo, Ungheria (qui). Mancano quindi solo otto Stati a sancire l’entrata in vigore della norma.

 

Uno strumento multilaterale flessibile

La Convenzione modernizzata rappresenta uno strumento multilaterale flessibile, in quanto essenziale per allineare i vari quadri normativi che si sono sviluppati nelle varie regioni del mondo.

Dalla data in cui il Regolamento Europeo in materia di protezione dei dati personali è divenuto applicabile, infatti, abbiamo assistito al proliferare di nuove fonti legislative in materia di privacy, sovente di ispirazione comune (il GDPR stesso). Per quanto, sotto diversi profili, le normative nazionali così congegnate siano assimilabili, differenze sostanziali ci saranno sempre. Tali differenze possono arrivare, nei casi più gravi, ad impedire la libera circolazione dei dati, a ostacolare la cooperazione fra Autorità nel contesto di indagini transnazionali, oppure, più in generale, a rallentare lo sviluppo di una cultura comune alla tutela dei dati personali.

Ci auguriamo, quindi, che la Convenzione entri presto in vigore e che riesca effettivamente ad agevolare il flusso di dati tra i confini, offrendo al contempo forme di tutela efficaci contro gli abusi.

 

Se ti interessa approfondire la legislazione di altri Stati in materia di protezione dei dati personali, ti ricordiamo che Labor Project ha in catalogo una vasta gamma di corsi di privacy comparata.

Follow us on
Our Gallery