Privacy: pubblicata in GU la ratifica delle modifiche alla Convenzione 108

Sulla Gazzetta Ufficiale n. 110 del 10 maggio 2021, è stata pubblicata la legge n. 60 del 22 aprile 2021 “Ratifica ed esecuzione del Protocollo di modifica alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, fatto a Strasburgo il 10 ottobre 2018”.

Con il Protocollo di modifica si propone l’ammodernamento e l’armonizzazione della Convenzione 108, per affrontare al meglio le sfide poste dallo sviluppo tecnologico e dalla globalizzazione dell’informazione in materia di tutela della vita privata, e per rafforzarne l’applicazione.

Aperta alla firma nel 1981, molto tempo prima dell’era di Internet e delle comunicazioni elettroniche, la “Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale” (Convenzione 108) aveva come obiettivo la tutela del diritto al rispetto della vita privata ed è l’unico accordo multilaterale giuridicamente vincolante nell’ambito della protezione dei dati personali.

La Convenzione 108 svolge un ruolo fondamentale nel diffondere il “modello europeo di protezione dei dati” a livello mondiale, essendo spesso utilizzata come fonte di ispirazione dai Paesi che intendono adottare nuove normative in materia di rispetto della vita privata o armonizzare quelle già esistenti con gli standard internazionali.

Nel Protocollo di modifica viene definito in maniera più specifica il principio di liceità del trattamento (con particolare riferimento ai requisiti relativi al consenso) e viene ulteriormente rafforzata la protezione delle categorie speciali di dati (che vengono al contempo estese a quelle riconosciute come categorie particolari di dati personali nel diritto dell’Unione).

La convenzione aggiornata prevede, inoltre, ulteriori garanzie per le persone fisiche alle quali si riferiscono i dati personali trattati (in particolare, l’obbligo di valutare il probabile impatto di un’operazione di trattamento dei dati che si intende effettuare, l’obbligo di adottare le opportune misure tecniche e organizzative e l’obbligo di segnalare gravi violazioni dei dati) e consente di rafforzare i loro diritti (in particolare, trasparenza e accesso ai dati).

Sono stati introdotti, poi, nuovi diritti degli interessati:, non essere sottoposti a una decisione basata unicamente su un trattamento automatizzato che arrechi un pregiudizio significativo alle persone; opporsi al trattamento e disporre di un ricorso in caso di violazione dei diritti della persona.

La convenzione aggiornata prevede la designazione di una o più Autorità indipendenti incaricate di garantire il rispetto delle disposizioni, con poteri supplementari, come ad esempio quello di emanare decisioni riguardo a violazioni della stessa e di imporre sanzioni amministrative. L’Autorità di controllo per l’Italia è il Garante per la protezione dei dati personali.