La Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione 108) è l’unico accordo multilaterale giuridicamente vincolante nell’ambito della protezione dei dati personali. Obiettivo della Convenzione è tutelare il diritto al rispetto della vita privata, riconosciuto dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali sono sanciti anche dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’UE e dall’articolo 16 del TFUE.

La Convenzione 108 impone alle Parti di integrare nelle rispettive legislazioni nazionali le misure necessarie per garantire il rispetto del diritto umano di tutte le persone fisiche con riguardo al trattamento dei dati personali. La Convenzione ha costituito una delle principali fonti di ispirazione per lo sviluppo dell’acquis dell’UE in materia di protezione dei dati. Uno degli obiettivi della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, è, conformemente al suo considerando 11, quello di precisare ed ampliare [i principi e i diritti] enunciati dalla Convenzione [ 108].

Attualmente, la Convenzione 108 è stata ratificata da 51 Stati membri, tra cui tutti e 28 gli Stati membri dell’UE, i quattro Stati dell’Associazione europea di libero scambio (EFTA), tutti i paesi dei Balcani occidentali, alcuni paesi del vicinato (come l’Armenia e la Georgia), la Federazione russa, la Turchia e alcuni paesi extraeuropei in Africa (Senegal, Tunisia) e nell’America latina (Uruguay). Alcune candidature (ad esempio di Argentina, Messico e Marocco) sono in fase di trattamento e un certo numero di paesi ha lo status di osservatore (ad esempio, il Giappone e la Corea del Sud).

La Convenzione 108 è stata aperta alla firma nel 1981, molto tempo prima dell’era di Internet e delle comunicazioni elettroniche. Lo sviluppo tecnologico e la globalizzazione dell’informazione pongono nuovi problemi per quanto riguarda la protezione delle informazioni personali. Il protocollo di modifica mira ad aggiornare la Convenzione 108, al fine di fornire soluzioni a tali problemi.

La convenzione aggiornata (la Convenzione del 108 modificata dal protocollo di modifica) avrà un ambito di applicazione uniforme per tutte le Parti della Convenzione, senza la possibilità di escludere completamente settori o attività (ad esempio in materia di sicurezza nazionale) dalla sua applicazione, come avviene nel testo dell’attuale Convenzione 108. Dovrebbe pertanto coprire tutti i tipi di trattamento dei dati soggetti alla giurisdizione delle Parti, sia nel settore pubblico che in quello privato.

Il protocollo di modifica aumenta significativamente il livello di protezione dei dati garantito dalla Convenzione 108. In particolare, la convenzione aggiornata definirà in maniera più specifica il principio di liceità del trattamento (in particolare per quanto riguarda i requisiti relativi al consenso) e rafforzerà ulteriormente la protezione delle categorie speciali di dati (espandendo al contempo tali categorie a quelle riconosciute come categorie particolari di dati personali nel diritto dell’Unione). Inoltre, la convenzione aggiornata prevederà ulteriori garanzie per le persone fisiche i cui dati personali vengono trattati (in particolare, l’obbligo di valutare il probabile impatto di un’operazione di trattamento dei dati che si intende effettuare, l’obbligo di prendere le opportune misure tecniche e organizzative e l’obbligo di segnalare gravi violazioni dei dati) e consentirà inoltre di rafforzare i loro diritti (in particolare per quanto riguarda la trasparenza e l’accesso ai dati). Sono stati inoltre introdotti nuovi diritti delle persone interessate, come il diritto di non essere sottoposti a una decisione basata unicamente su un trattamento automatizzato che arrechi un pregiudizio significativo alla loro persona, il diritto di opporsi al trattamento e il diritto di disporre di un ricorso in caso di violazione dei diritti della persona.

La convenzione aggiornata comprenderà disposizioni modificate (attualmente contenute in un protocollo aggiuntivo firmato solo da alcune Parti), che impongono alle Parti di designare una o più autorità indipendenti incaricate di garantire il rispetto delle disposizioni della Convenzione 108. La posizione di tali autorità risulterà rafforzata in quanto sarà chiesto alle Parti di concedere loro poteri supplementari, ad esempio il potere di emanare decisioni riguardo a violazioni della Convenzione 108 e di imporre sanzioni amministrative.

Il sistema di deroghe ai suddetti diritti e obblighi formulato nel protocollo di modifica soddisfa tre condizioni essenziali: vengono mantenuti l’ampio campo di applicazione della Convenzione 108 (senza deroghe generali), la flessibilità (che permette di conciliare norme di livello elevato di protezione dei dati con altri importanti interessi pubblici, ad esempio considerazioni di sicurezza nazionale) e la coerenza generale con la giurisprudenza della Corte europea dei diritti dell’uomo (in particolare grazie all’assenza di restrizioni che pregiudichino l’essenza del diritto fondamentale alla protezione dei dati).

Nel complesso, la Convenzione aggiornata dovrebbe garantire un elevato livello di protezione, pur lasciando un margine di flessibilità alle Parti per quanto riguarda il recepimento delle sue disposizioni nel diritto interno. In tal modo renderebbe l’adesione alla Convenzione 108 aggiornata attraente per i paesi, anche al di fuori dell’Europa, che intendono creare sistemi di protezione dei dati o rafforzare quelli già esistenti. Il suo impatto concreto può essere di gran lunga superiore all’impatto dell’attuale Convenzione 108, sia per quanto riguarda il campo di applicazione che per quanto riguarda gli obblighi stabiliti.

Una volta entrato in vigore, il protocollo di modifica introduce la possibilità per l’Unione di diventare Parte della convenzione (aggiornata). Per quanto riguarda i diritti di voto in seno al Comitato per la Convenzione, il testo concordato sancisce il principio in base al quale l’Unione può votare nel proprio ambito di competenza con un numero di voti per l’Unione pari al numero dei suoi Stati membri che sono Parti della convenzione. Al fine di sciogliere i dubbi riguardo al peso del voto dell’Unione, è stata concordata una soluzione di compromesso che prevede che le decisioni possano essere adottate solo a “ipermaggioranza” (quattro quinti) delle Parti e, per le decisioni più importanti relative al rispetto della Convenzione da parte di una Parte, è stato introdotto il requisito di una “doppia maggioranza” (maggioranza qualificata più maggioranza semplice delle Parti non-UE).

La Convenzione aggiornata, che stabilisce che il Comitato per la Convenzione può valutare l’efficacia delle misure adottate nelle legislazioni nazionali per dare effetto alle disposizioni della Convenzione, dovrebbe anche rafforzare l’efficacia della protezione dei dati.

Il testo del protocollo di modifica, convenuto con i rappresentanti degli Stati membri del gruppo di lavoro competente del Consiglio, attua le direttive di negoziato del Consiglio. È inoltre pienamente in linea con il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati (“direttiva sulla protezione dei dati”), in modo da escludere che gli Stati membri siano soggetti, in base alla normativa dell’Unione e del Consiglio d’Europa, a obblighi diversi e in contrasto tra loro. L’adozione di una solida convenzione, basata sullo stesso approccio e sugli stessi principi del (nuovo) acquis dell’Unione, è di particolare importanza per la strategia internazionale dell’Unione in materia di protezione dei dati. La Convenzione 108, che è anche aperta a Stati non europei, ha beneficiato dell’impulso vitale di paesi di tutto il mondo che stanno elaborando o prevedono di adottare una legislazione in materia di protezione dei dati. Nella comunicazione del gennaio 2017 su “Scambio e protezione dei dati personali in un mondo globalizzato” (COM/2017/07 final), la Commissione ha fatto riferimento alla Convenzione 108, affermando che la convenzione aggiornata dovrebbe rispecchiare gli stessi principi sanciti nelle nuove norme dell’UE sulla protezione dei dati e, di conseguenza, “contribuirà alla convergenza verso un insieme di standard elevati di protezione dei dati” a livello mondiale. Ha quindi espresso l’impegno a “promuovere la rapida adozione” del protocollo di modifica.

La materia disciplinata dalla Convenzione modificata è ormai ampiamente regolamentata dal quadro normativo dell’Unione in materia di protezione dei dati. Il regolamento generale sulla protezione dei dati, applicabile dal 25 maggio 2018, e la direttiva sulla protezione dei dati a fini di contrasto, il cui periodo di recepimento è terminato il 6 maggio 2018, costituiscono un sistema globale di norme in materia di protezione dei dati e garantiscono un livello di tutela almeno equivalente e, in molti casi, più elevato. Ai sensi dell’articolo 13 della Convenzione aggiornata, le Parti possono concedere alle persone interessate un livello di tutela superiore a quello indicato nella convenzione e hanno quindi la facoltà di adottare misure più rigide di tutela.

Il protocollo di modifica entrerà in vigore quando tutte le Parti avranno depositato i loro strumenti di ratifica, accettazione, approvazione o adesione presso il Segretario Generale del Consiglio d’Europa. Inoltre, in considerazione dell’elevato numero di Parti che devono ratificare, il protocollo di modifica permette una “adesione parziale” a un gruppo più ristretto di Parti dopo cinque anni dopo che almeno trentotto Parti abbiano espresso il loro consenso a essere vincolate dalla Convenzione.

Gli Stati membri dell’Unione europea (attualmente uniche Parti della Convenzione 108) adotteranno le misure necessarie a garantire una rapida entrata in vigore del protocollo di modifica:

in primo luogo, poiché la Convenzione aggiornata dovrebbe contenere garanzie molto simili a quelle previste dal regolamento generale sulla protezione dei dati e dalla direttiva sulla protezione dei dati a fini di contrasto, la (parziale) entrata in vigore contribuirà alla promozione delle norme sulla protezione dei dati dell’Unione in tutto il mondo. In effetti, la Convenzione 108 ha svolto un ruolo fondamentale nel diffondere il “modello europeo di protezione dei dati” a livello mondiale, in quanto è spesso utilizzata come fonte di ispirazione dai paesi che intendono adottare o aggiornare la loro normativa in materia di rispetto della vita privata. Ciò è ancora più importante oggi con l’aumento del numero dei paesi che adottano normative in questa materia in molte regioni del mondo. Il miglioramento delle norme in materia di protezione da parte delle Parti della Convenzione, agevolerà anche la circolazione dei dati tra l’UE e i paesi terzi Parti della Convenzione. Per un certo numero di paesi, l’adesione alla Convenzione 108 si è anche dimostrata un utile strumento di preparazione ai fini di un eventuale accertamento di adeguatezza della Commissione europea. Il regolamento generale sulla protezione dei dati potenzia tale aspetto stabilendo espressamente che l’adesione alla Convenzione 108 è un fattore importante di cui la Commissione europea deve tener conto negli accertamenti di adeguatezza. Anche in mancanza di adeguatezza, un livello di protezione più elevato (specialmente per quanto riguarda la disponibilità di mezzi di ricorso giudiziari e stragiudiziari e l’efficacia dei controlli delle autorità di vigilanza) agevolerebbe lo scambio di dati sulla base di garanzie adeguate (in particolare in quanto tali garanzie possono diventare più facilmente applicabili negli ordinamenti giuridici delle Parti);

in secondo luogo, è importante continuare a far sì che la Convenzione aggiornata rispetti pienamente le disposizioni del regolamento generale sulla protezione dei dati e la direttiva sulla protezione dei dati a fini di contrasto, in modo da consentire agli Stati membri dell’UE di rimanere Parti della Convenzione e di ottemperare alle disposizioni di quest’ultima senza violare la legislazione dell’Unione. Ciò riguarda in particolare le disposizioni sulla libera circolazione dei dati tra le Parti, dal momento che la Convenzione aggiornata (a differenza del testo attuale) contiene una deroga a questa regola per le Parti “vincolate da norme armonizzate in materia di tutela condivise da Stati appartenenti a un’organizzazione internazionale regionale”. Ciò garantirà il rispetto della Convenzione da parte degli Stati membri dell’UE, nonostante le condizioni relative ai trasferimenti internazionali stabilite dalla normativa dell’Unione in materia di protezione dei dati;

in terzo luogo, l’attuale Convenzione 108 non prevede la possibilità di adesione per le organizzazioni internazionali. Dal momento che il protocollo di modifica provvede a modificare questo aspetto, la sua entrata in vigore è una condizione per la futura adesione dell’UE alla Convenzione.

La proposta di decisione del Consiglio si basa sull’articolo 218, paragrafo 6, del TFUE in combinato disposto con l’articolo 16 del TFUE.