La tutela dei dati si allarga fuori dai confini dell’Ue

Il Sole 24 Ore 25 Maggio 2018 di Rosario Imperiali

La Convenzione. Un nuovo protocollo per 47 paesi

È il giorno del Gdpr, il nuovo regolamento europeo sulla privacy, che entra pienamente in vigore oggi. Ma uno strumento normativo di pari importanza sulla data protection è stato approvato in questi stessi giorni: il Protocollo di modernizzazione della convenzione del Consiglio d’Europa sul trattamento di dati personali, meglio nota come «Convenzione 108». L’approvazione del 18 maggio scorso avvia il procedimento di ratifica da parte dei parlamenti nazionali ed è un ulteriore passo fondamentale, con il Gdpr, verso uno standard internazionale di princìpi e regole omogenee.
I due strumenti normativi lasciano oggi uno spazio a quelle aree del globo ancora prive di adeguate tutele legali sull’uso di dati personali e la scomparsa dei confini spaziali nella società dei sensori non può prescindere da regole globali condivise. Il Consiglio d’Europa è un organismo internazionale, con sede a Strasburgo, sorto subito dopo il secondo conflitto mondiale. Costituito in origine da 10 Paesi – oggi sono 47, non solo europei – vanta la primazia sulla regolamentazione internazionale in materia.
Diversamente dal Gdpr, legge interna della Ue, la Convenzione 108 del 1981 – e il suo Protocollo di modernizzazione che ne costituisce parte sostanziale – è un trattato internazionale (unico in materia) che vincola gli Stati firmatari: questi potranno anche non far parte del Consiglio. Consiglio d’Europa e Unione europea si sono sempre mossi in sintonia in ambito data protection, la Convenzione ha influito decisamente sull’assetto della direttiva 95/46 e quest’ultima innescò l’approvazione di un primo Protocollo aggiuntivo (nel 2001) per recepire nella Convenzione talune novità della direttiva. Più di recente, il lungo percorso della riforma Ue culminata col Gdpr è stato affiancato dall’iter di ammodernamento della Convenzione, anch’esso iniziato nel 2011 e concluso il 18 maggio.
I lavori preparatori del Gdpr e quelli per la modernizzazione della Convenzione 108 si sono svolti in parallelo per assicurare un approccio consistente in entrambi i sistemi normativi, tanto che il Gdpr (nel Considerando 105) riconosce che nel valutare l’adeguatezza del livello di protezione nei Paesi terzi «si dovrebbe tenere in considerazione» la loro adesione alla Convenzione. Un assist per la complessa procedura di riconoscimento, svolta dalla Commissione Ue, che faciliterà i flussi esteri di dati.
Princìpi di liceità e requisiti di legittimazione, privacy by design, disciplina del data breach e misure tecnico-organizzative per una sicurezza adeguata, aumentata trasparenza, diritti degli interessati e azioni di tutela, disciplina dei trasferimenti di dati all’estero. Tutto ciò trova analoga disciplina nei due contesti normativi di Gdpr e Convenzione, contribuendo a costruire un comune piano d’azione.
Gli Stati che intendono firmare il Protocollo saranno obbligati a recepirne princìpi e regole nei propri ordinamenti, prima di procedere alla ratifica della Convenzione, atto dal quale scatta il vincolo di conformità per gli Stati firmatari. Il Comitato, organo appositamente costituito all’interno della Convenzione, vigilerà sull’effettiva applicazione da parte degli Stati aderenti.