La Convenzione di Strasburgo del 1981, o anche Convenzione 108 del Consiglio d'Europa (qui il testo in italiano), è uno dei più importanti strumenti legali per la protezione delle persone rispetto al trattamento automatizzato dei dati personali.
Ed è l'unico strumento giuridicamente vincolante a livello internazionale in tale materia, potendo ad essa aderire anche Stati non membri del Consiglio d'Europa.
La Convenzione 108 introduce la protezione dei dati personali come un concetto separato, valorizzando l'idea che per proteggere i diritti e le libertà fondamentali degli individui il trattamento dei dati personali dovesse sempre soddisfare determinate condizioni. Per questo l'articolo 5 prevede il requisito secondo cui “i dati a carattere personale oggetto di elaborazione automatica devono essere: (a) ottenuti ed elaborati lealmente e legalmente”. La Convenzione 108 nasce dall'esigenza di tutela per le persone a seguito del proliferare delle tecnologie dell'informazione e comunicazione a partire dagli anni '60. Si applica a tutti i trattamenti di dati personali effettuati sia nel settore privato che pubblico, e quindi anche ai trattamenti effettuati da polizia e autorità giudiziaria. La normativa mira a proteggere gli individui da abusi e regolamentare i flussi transnazionali dei dati, e trae diretta inspirazione dall'articolo 8 della Convenzione europea dei diritti dell'uomo.
L'articolo 1 recita:
"Scopo della presente Convenzione è quello di garantire, sul territorio di ciascuna Parte, ad ogni persona fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano («protezione dei dati»)".
Tutti gli Stati membri dell'Unione Europa hanno ratificato la Convenzione 108, e nel 1999 anche la stessa Unione Europa ha ratificato la Convenzione. Comunque la Convenzione 108 è aperta all'adesione anche di Stati non facenti parti del Consiglio d'Europa, ad esempio l'Uruguay ha aderito nel 2013.
La Convenzione sancisce che il trattamento e la raccolta dei dati deve avvenire rispettando alcuni principi:
- correttezza del trattamento;
- liceità del trattamento;
- finalità del trattamento;
- qualità dei dati.
In breve, i dati devono essere raccolti e trattati solo in base a specifiche norme che ne autorizzano il trattamento automatizzato, devono essere trattati per scopi specifici legittimi e non devono essere destinati a un uso incompatibile con la finalità di trattamento originaria. Infine, non devono essere conservati oltre il tempo necessario per raggiungere lo scopo prefissato. I dati devono essere corretti, pertinenti allo scopo e non eccessivi rispetto alla finalità perseguita. Sono i principi fondamentali che reggono l'intera normativa in materia di protezione dei dati personali.
La Convenzione vieta altresì il trattamento di dati sensibili, quali la razza, le opinioni politiche e la salute, in assenza di adeguate garanzie giuridiche. E stabilisce il diritto del cittadino ad ottenere informazioni in merito a quali dei suoi dati sono conservati ed eventualmente chiederne la rettifica se inesatti. Infine, prevede delle restrizioni alla possibilità di trasferire dati verso paesi la cui regolamentazione giuridica non fornisca una tutela equivalente. In merito al trasferimento dei dati, la Convenzione stabilisce il principio della circolazione senza necessità di autorizzazioni, un principio quindi opposto rispetto a quanto poi stabilirà la direttiva 95/46/CE.
La regolamentazione della Convenzione 108 si concentra principalmente sui trattamenti automatizzati (anche se solo parzialmente), ma considera anche i trattamenti manuali come oggetto di tutela, prevedendo la possibilità che i singoli Stati estendano la definizione di trattamento anche a tali trattamenti, purché i dati personali siano contenuti o destinati a figurare in archivi.
Protocollo del 2018
Il 18 maggio del 2018 il Consiglio ha adottato un protocollo di modifica (detto anche Convenzione 108+) del testo della Convenzione (qui il comunicato), teso a modernizzarla per fornire un quadro giuridico più consono ad un'epoca nella quale le violazioni del diritto alla protezione dei dati sono divenute una importante preoccupazione. Il protocollo, inoltre, fornisce un quadro giuridico robusto e flessibile per facilitare il flusso dei dati attraverso le frontiere e fornire garanzie efficaci.
Il protocollo introduce innovazioni rilevanti come l'obbligo di comunicare le violazioni dei dati (data breach) e il rafforzamento del principio di minimizzazione dei dati, e di trasparenza dell'elaborazione. Principi ritenuti fondamentali per mantenere la fiducia nell'ambiente digitale. Richiede inoltre anche il rispetto del principio di privacy by design, introducendo ulteriori tutele nell'ambito dei trattamenti algoritmici, come il diritto di ottenere informazioni sulla logica alla base dell'elaborazione dei dati.
La Convenzione 108+ riguarda tutti i tipi di trattamenti, compreso quelli derivanti da sicurezza nazionale e difesa (a differenza del GDPR), tranne i trattamenti operati da persone fisiche nell'esercizio di attività puramente personali e domestiche.
Le nuove norme avvicinano il regime della Convenzione aggiornata al regime stabilito dal Regolamento europeo (GDPR). Ciò comporta che nel caso di valutazioni dell'adeguatezza del regime di protezione dei dati di un paes terzo, il fatto di aver aderito alla Convenzione 108+ è un elemento fondamentale.
Il Comitato della Convenzioni si occuperà di valutare il rispetto della parti al protocollo.
Il nuovo protocollo, ovviamente, si applica ai soli Stati firmatari, mentre agli Stati firmatari della sola Convenzione originale si applica quest'ultima. Il 5 marzo del 2019 l'Italia ha ratificato la Convenzione 108+.