giovedì, Giugno 20, 2024
Uncategorized

Giornata europea della protezione dei dati: la Convenzione 108 compie 40 anni

La pandemia da Covid-19 ha generato conflitti tra libertà individuali e interessi collettivi che non potevano non riguardare anche la materia della protezione dei dati personali.

Se da un lato la tecnologia ha rivestito un ruolo strategico nell’erogazione dei servizi essenziali “da remoto” impedendone di fatto la paralisi, «come leva al servizio dell’articolo 3, comma 2, Cost., collocandosi in posizione ancillare rispetto al compimento della piena dimensione costituzionale della persona» [1] , dall’altro lato gli accesi dibattiti, ad esempio, sul contact tracing [2] non hanno fatto altro che alimentare la tensione tra privacy e salute pubblica.

È in tale cornice che si inserisce quest’oggi la Giornata per la protezione dei dati (“Data Protection Day”), istituita nel 2006 dal Consiglio d’Europa allo scopo di stimolare il dialogo e accrescere la sensibilità su tali tematiche in un’economia e una società, come quelle attuali, fondate sui dati.

Un’edizione quella di quest’anno, la numero quindici, davvero memorabile non soltanto per l’ormai onnipresenza dell’argomento nel dibattito pubblico a causa dei recenti casi di cronaca [3], ma anche per la ricorrenza di un anniversario davvero speciale.

Quarant’anni fa, il 28 gennaio 1981 a Strasburgo, veniva aperto alla firma il primo trattato internazionale in materia di protezione dei dati personali: la Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, nota anche come Convenzione 108 ed entrata in vigore il 1 ottobre 1985.

Il suo scopo, come emerge chiaramente dal Preambolo, è da rintracciarsi nell’auspicio di una maggior estensione della protezione dei diritti e delle libertà fondamentali di ciascuno, e in particolare del diritto al rispetto della vita privata, tenuto conto dell’intensificazione dei flussi internazionali di dati a carattere personale oggetto di elaborazione automatica.

Come indicato all’art. 1, l’obiettivo è «garantire, sul territorio di ciascuna Parte, ad ogni persona fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano («protezione dei dati»)».

A cavallo tra gli anni Settanta e Ottanta, l’avvento delle tecnologie dell’informazione combinato alla crescente sensibilità culturale e giuridica di alcuni Stati all’avanguardia dell’area europea [4]  portarono all’elaborazione di un accordo di diritto internazionale ad hoc per la protezione delle persone contro l’uso distorto del trattamento automatizzato dei dati di carattere personale.

Non va dimenticato, tuttavia, che il diritto alla protezione dei propri dati trova un “ancoraggio” normativo nell’art. 8 CEDU rubricato «Diritto al rispetto della vita privata e familiare»  (disposizione che più delle altre tra quelle incluse nel catalogo europeo di diritti e libertà testimonia il carattere di «living instrument»[5] della stessa Convenzione). Ed è grazie proprio a tale “ancoraggio” che la Corte europea dei diritti dell’uomo ha potuto pronunciarsi, quasi di pari passo allo sviluppo tecnologico, su casi sempre più numerosi in materia di diritto di accesso, corrispondenza, libertà di espressione e di informazione, intercettazioni e videosorveglianza [6].

La Convenzione n. 108 si applica a tutti i trattamenti di dati personali effettuati sia nel settore privato che nel pubblico, compresi quelli effettuati da autorità giudiziarie e di polizia.

Nel dettaglio, l’art. 5 rubricato «Qualità dei dati» indica caratteristiche e modalità da soddisfarsi affinché i dati a carattere personali oggetto di elaborazione automatica possano ritenersi di qualità adeguata, richiamando la correttezza e la liceità della raccolta e del trattamento automatizzato dei dati, per specifici scopi legittimi. Ciò significa che i dati non devono essere destinati a un uso incompatibile con tali scopi, né conservati oltre il tempo necessario.

Oltre a fornire garanzie sul trattamento dei dati personali e gli obblighi relativi alla sicurezza dei dati, in assenza di adeguate garanzie giuridiche, la Convenzione vieta, all’art. 6, il trattamento di dati “sensibili”, ossia di quei «dati a carattere personale che rivelano l’origine razziale, le opinioni politiche, le convinzioni religiose o altre convinzioni, nonché i dati a carattere personale relativi alla salute o alla vita sessuale […] Lo stesso vale per i dati a carattere personale relativi a condanne penali».

In tema di sicurezza (art. 7), la Convenzione prevede che debbano porsi in essere adeguate misure di sicurezza nelle collezioni automatizzate contro la distruzione accidentale o non autorizzata, o la perdita accidentale, nonché contro l’accesso, la modificazione o la diffusione non autorizzati.

Riguardo alle garanzie supplementari, invece, l’art. 8 prevede che a ogni persona siano riconosciute determinate facoltà circa la conoscenza e la gestione dei suoi dati, segnatamente, ognuno deve avere la possibilità di:

«a) conoscere l’esistenza di una collezione automatizzata di dati a carattere personale, i suoi fini principali, nonché l’identità e la residenza abituale o la sede principale del responsabile della collezione;

b) ottenere a ragionevoli intervalli e senza eccessivo ritardo o spesa la conferma dell’esistenza o meno, nella collezione automatizzata, di dati a carattere personale che la riguardano e la comunicazione di tali dati in forma intellegibile;

c) ottenere, all’occorrenza, la rettifica di tali dati o la loro cancellazione qualora essi siano stati elaborati in violazione delle disposizioni di diritto interno che danno attuazione ai principi fondamentali enunciati negli articoli 5 e 6 della presente Convenzione;

d) disporre di un ricorso se non viene dato seguito ad una domanda di conferma o, a seconda dei casi, di comunicazione, di rettifica o di cancellazione ai sensi delle lettere b) e c) del presente articolo».

Deroghe ai principi sanciti possono avvenire solo alle condizioni tassativamente previste dall’art. 9, il quale consente deroghe solo nei casi in cui si renda necessario, secondo i canoni tipici di una società democratica, tutelare interessi quali la sicurezza dello Stato, la sicurezza pubblica, gli interessi monetari dello Stato, la repressione dei reati, la protezione della stessa persona interessata e dei diritti e delle libertà di altri.

Il “Capitolo III” è dedicato ai flussi internazionali di dati. La Convenzione, al riguardo, prevede che le Parti non possano proibire o sottoporre a una autorizzazione speciale il trasferimento oltre frontiera dei dati a carattere personale destinati al territorio di un’altra Parte. Tuttavia, sono previste due possibilità di deroga (art. 12) :

«a) nella misura in cui la legislazione del Paese trasferente prevede una regolamentazione specifica per certe categorie di dati a carattere personale o di collezioni automatizzate di dati a carattere personale, a motivo della natura di tali dati o di tali schedari, salvo che la regolamentazione dell’altra Parte fornisca una protezione equivalente;

b) allorché il trasferimento è effettuato verso il territorio di uno Stato non contraente per il tramite del territorio di un’altra Parte, al fine di evitare che trasferimenti di questo tipo abbiano come risultato l’aggiramento della legislazione della Parte dal cui territorio deriva il flusso di dati o delle garanzie previste dalla Convenzione».

Al testo originario della Convenzione si affiancano il Protocollo addizionale alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato dei dati a carattere personale, concernente le autorità di controllo ed i flussi transfrontalieri (STE n°181), aperto alla firma nel 2001 ed entrato in vigore nel 2004, e il successivo Protocollo di emendamento alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (STCE n°223), quest’ultimo non ancora entrato in vigore [7].Tra gli elementi di novità,  l’ampliamento delle categorie di dati noti come “sensibili”, che comprenderanno d’ora in poi i dati genetici e biometrici, quelli indicanti l’adesione a sindacati e l’origine etnica; nuovi diritti delle persone riguardo a processi decisionali basati su algoritmi, che assumono una particolare rilevanza nell’ambito dello sviluppo dell’intelligenza artificiale[8]; istituzione di un chiaro sistema di norme per disciplinare il flusso transfrontaliero dei dati; rafforzamento dei poteri e dell’indipendenza delle autorità preposte alla protezione dei dati e delle basi giuridiche necessarie per la cooperazione internazionale.

«Creando uno spazio giuridico comune che oggi copre 55 Stati contraenti, la Convenzione è diventata uno dei principali strumenti di pertinenza mondiale per la tutela del diritto di ogni persona alla protezione dei dati» – così Marija Pejčinović Burić, segretario generale del Consiglio d’Europa, in occasione dei lavori di questa XV Giornata della protezione dei dati – «Per molti paesi in tutto il mondo, la Convenzione è stata fonte di ispirazione per l’elaborazione della legislazione nazionale. La Convenzione ha inoltre fornito i pilastri per la prima direttiva dell’Unione europea sulla protezione dei dati».

Ed è proprio dalla Commissione europea che proviene l’omaggio alla Convenzione 108 in qualità di «madre della normativa UE in materia di protezione dei dati» [9].

Il riferimento non può che andare, su tutti, alla Direttiva 95/46/CE e al successivo Regolamento 2016/679/UE (cd. GDPR), quest’ultimo animato dall’obiettivo di una piena, omogenea ed uniforme attuazione del diritto fondamentale alla protezione dei dati personali, come riconosciuto dalla Carta dei diritti fondamentali dell’Unione (art. 8) e dal TFUE (art. 16), al fine di «contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche» (Considerando 2 GDPR). Ed è sempre in tale contesto che si inserisce anche l’intensa attività della Corte di giustizia dell’Unione europea, chiamata sempre più frequentemente a pronunciarsi su questioni che vedono il coinvolgimento di giganti del web come Google, Apple o Facebook.

«La circolazione libera e sicura dei dati è essenziale anche per la continuità di funzionamento delle amministrazioni pubbliche e delle imprese durante la pandemia. La tutela della vita privata e una facile circolazione dei dati personali devono procedere di pari passo – ha dichiarato la Commissione europea.  –  Grazie al suo innovativo regime di protezione dei dati, che si è affermato come modello di riferimento a livello internazionale, l’UE si trova in una posizione che le permette di promuovere flussi di dati sicuri e affidabili su scala mondiale. A tal fine potenzieremo la cooperazione con i partner che condividono i nostri stessi valori a livello bilaterale e multilaterale, sfruttando la crescente tendenza alla convergenza verso l’alto a livello globale delle norme in materia di tutela della vita privata. Siamo a un passo dal finalizzare i colloqui sull’adeguatezza con la Corea del Sud e siamo impegnati in dialoghi di adeguatezza con diversi altri partner internazionali. Contribuiamo attivamente al lavoro di organizzazioni internazionali quali l’OCSE volto a elaborare norme e protezioni globali per l’accesso delle pubbliche amministrazioni ai dati personali, fattore sempre più importante per i flussi di dati. Severe norme sulla protezione dei dati sono parte della soluzione per affrontare la pandemia. Tali norme ci torneranno utili via via che aumenterà l’accelerazione della transizione verso società ed economie basate sui dati» ha concluso la Commissione.

 

 

[1] G. De Minico, Stato di diritto – Emergenza e Tecnologia, in Consulta OnLine RIVISTA DI DIRITTO E GIUSTIZIA COSTITUZIONALE, luglio 2020, p. 4.

[2] Cfr. G. Cavallari, Il sistema di tracciamento durante l’epidemia da COVID-19: l’app italiana “Immuni”, in Ius in Itinere, maggio 2020;  G. Fragalà, EDPB e Covid-19: linee-guida sull’uso dei dati di localizzazione e degli strumenti di tracciamento, in Ius in Itinere, in Ius in Itinere, maggio 2020. Si veda anche S. Crespi, Applicazione di tracciamento Immuni tra normativa nazionale e diritto UE in materia di protezione dei dati personali, in Freedom, Security & Justice: European Legal Studies, 2020, n. 3, pp. 49-73.

[3] Si consenta di rimandare a un mio precedente contributo IA e Deep Nude, il lato oscuro del digitale “anonimo”, in Ius in Itinere, novembre 2020. Da ultimo, si veda M. C. La Spina, Il copyright e le Instagram stories della top model Emily Ratajkowski, in Ius in Itinere, gennaio 2021; G. Calimà, Da Maradona alla tutela del diritto all’immagine dei defunti, in Ius in Itinere, gennaio 2021.

[4] Nel 1970 il land tedesco dell’Assia emana la prima legge sulla protezione dei dati denominata Datenshutz. Seguono la Svezia nel 1973, la Norvegia e la Danimarca nel 1978. Alla fine degli anni Ottanta, diversi Stati europei (Francia, Germania, Paesi Bassi e Regno Unito) hanno già adottato una legislazione in materia di protezione dei dati. Sull’argomento, si rinvia a G. Della Morte, Big data e protezione internazionale dei diritti umani: regole e conflitti, Napoli, 2018.

[5] A. Di Stasi, Introduzione alla Convenzione europea dei diritti dell’uomo e delle libertà fondamentali, Milano, 2016, p. 24.

[6] Per una disamina della giurisprudenza della Corte EDU in materia, si rinvia al factsheet aggiornato a ottobre 2020 disponibile qui https://www.echr.coe.int/Documents/FS_Data_ENG.pdf.

[7] Garante Privacy, Firmato dall’Italia il Protocollo emendativo della Convenzione 108 sulla protezione degli individui rispetto al trattamento automatizzato dei dati personali, marzo 2019.

[8] In relazione a queste tematiche, è stato istituito un comitato ad hoc sull’intelligenza artificiale denominato CAHAI, organo intergovernativo del Comitato dei Ministri del Consiglio d’Europa e incaricato di esaminare la fattibilità di un quadro giuridico per lo sviluppo, la progettazione e l’applicazione dell’Intelligenza artificiale.

[9] Dichiarazione comune della Vicepresidente Jourová e del Commissario Reynders in vista della Giornata della protezione dei dati personali, gennaio 2021.

Lascia un commento