L’utilizzo delle tecnologie ha facilitato e amplificato la diffusione dei dati, dando vita a molte opportunità ma inevitabilmente anche a nuove minacce. Proprio per questo motivo, essi hanno iniziato ad acquisire sempre maggiore rilevanza, tanto da essere definiti “the new gold”. Tuttavia, nonostante questo impegnativo riconoscimento, per molte persone la ricchezza di tali informazioni resta ancora poco chiara e troppo spesso si presta scarsa attenzione alla loro tutela, mettendo a rischio l’integrità dell’individuo. La diffusione di internet e delle tecnologie di comunicazione, dunque, ha aperto un dibattito anche sul piano giuridico. La prima risposta alle problematiche legate alla protezione delle persone rispetto al trattamento automatizzato dei dati personali risale al 1981 ed è da individuare nella Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, anche nota come Convenzione 108 del Consiglio d’Europa (CoE).
Quando nasce?
Nata in seno al Consiglio d’Europa, firmata il 28 gennaio 1981 ed entrata in vigore nel 1985, la Convenzione rappresenta l’unico strumento vincolante in materia a livello globale, poiché a essa possono aderirvi anche Paesi non membri del CoE (art. 23).
In concomitanza con l’anniversario della firma del Trattato, a partire dal 2006, viene celebrato il Data Protection Day. Ad oggi sono 55 gli Stati che lo hanno ratificato, tra cui si contano tutti i Paesi membri dell’UE e 9 non membri del Consiglio d’Europa.
Con la Convenzione si è aperta una nuova era del diritto, che è stata nei decenni successivi sempre più implementata. Accanto all’aspetto innovativo legato al concetto di trattamento automatizzato di dati, vi sono i diritti e le libertà fondamentali alla base degli ordinamenti statali democratici e, in particolare, della Convenzione dei diritti dell’uomo (CEDU), che è da considerarsi uno dei maggiori successi del Consiglio d’Europa. La Convenzione 108 del CoE è dunque da includere tra i trattati a tutela dei diritti umani e, come si legge all’art. 1, «lo scopo è quello di garantire a ogni persona fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano (“protezione dei dati”)». Inoltre, come disciplinato dall’art. 3, il campo di applicazione delle disposizioni include sia il settore pubblico sia privato.
Quali sono le tutele previste dalla Convenzione?
Il Capitolo II della Convenzione declina i principi fondamentali per la protezione dei dati personali, che rappresentano le fondamenta dell’intera normativa in materia, e che sono alla base anche del più recente ed esclusivamente europeo Regolamento sulla protezione dei dati del 2016, anche noto come GDPR. La Convenzione stabilisce che i dati debbano essere raccolti in base a norme specifiche e che il loro trattamento non possa prescindere dalle finalità per le quali essi sono stati raccolti. Inoltre, l’art. 6 sancisce un altro importante principio attinente a una categoria più delicata di dati, vale a dire i “dati sensibili”, e cioè tutti quei dati «a carattere personale che rivelano l’origine razziale, le opinioni politiche, le convinzioni religiose o altre convinzioni, nonché i dati a carattere personale relativi alla salute o alla vita sessuale». Essi non possono essere elaborati automaticamente a meno che il diritto interno preveda delle garanzie appropriate. Questo principio si applica anche ai dati a carattere personale relativi a condanne penali.
Un’altra rilevante tutela, che ha assunto anche una posizione centrale nel GDPR, riguarda il trasferimento dei dati in Paesi non aderenti alla Convenzione.
L’art. 12 individua le limitazioni al trasferimento dei dati verso Paesi nei quali non vi sia una regolamentazione giuridica che garantisca altrettante tutele.
Sviluppi recenti
A distanza di quasi 40 anni, nel maggio 2018 è stato adottato un Protocollo di modifica alla Convenzione. Esso fornisce un quadro giuridico solido e flessibile per facilitare il flusso di dati oltre le frontiere, garantendo loro una salvaguardia efficace. Il Protocollo, inoltre, tiene in considerazione la normativa dell’UE (GDPR), entrata in vigore pochi giorni dopo rispetto all’adozione dello stesso. Tra le modifiche più significative vi è l’obbligo di dichiarare le violazioni dei dati (data breach), onere ormai presente in quasi tutta la nuova normativa in materia, ed emerge anche l’intenzione di rafforzare la fiducia nell’ambiente digitale, realizzabile grazie a una maggiore trasparenza del trattamento del dato. Infine, nel documento di modifica viene incluso il principio della “privacy by design” e garanzie per gli interessati in un contesto decisionale basato sull’algoritmo.
Diritto e tecnologia: è difficile stare al passo con i tempi
Il settore delle tecnologie rappresenta per il diritto una grande sfida. Spesso quest’ultimo non riesce a essere al passo con i tempi, sempre più veloci, della tecnologia e, dunque, vi sono aree delicate e complesse in cui manca del tutto una disciplina giuridica o non vi sono aggiornamenti costanti. Tuttavia, la Convenzione del 1981 fa riflettere sulla rapidità con cui a livello internazionale si è avvertita l’importanza dei dati e la necessità della loro tutela come protezione fondamentale per i proprietari degli stessi, e dunque tutti gli esseri umani. Gli adattamenti della Convenzione a nuovi rischi e minacce e la stipulazione di nuovi strumenti giuridici fanno comprendere quanto sia urgente tale tutela. Il principale problema restano ancora gli individui e le società in cui spesso manca una educazione consapevole e diffusa della materia.
Fonti e approfondimenti
Consiglio d’Europa, Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, 28 gennaio 1981.
Parlamento europeo, Regolamento (UE) 2016/679, anche noto come General Data Protection Regulation (GDPR), 27 aprile 2016.
Council of Europe Communications, Enhancing data protection globally: Council of Europe updates its landmark convention, 18 maggio 2018.
Bruno Saetta, Convenzione 108 del Consiglio d’Europa, protezione Dati personali, 19 maggio 2018.
New Guidelines on Artificial Intelligence and Data Protection, 30 gennaio 2019.
Sara Bianchi, Ricorda 1949: la nascita del Consiglio d’Europa, lospiegone.com, 10 agosto 2019.
Chiara Antonini, “L’Illuminismo digitale”: rileggere alcuni insegnamenti di Kant ai giorni nostri, lospiegone.com, 28 novembre 2020.
Ginevra Candidi, I diritti umani nel contesto europeo: la CEDU, lospiegone.com, 30 marzo 2020.
Stato delle firme e ratifiche di trattato 108, situazione in data 8 giugno 2021.
Editing a cura di Francesco Bertoldi
Be the first to comment on "Ricorda 1981: Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale"