La "Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale" firmata a Strasburgo il 28 gennaio 1981 ed entrata in vigore il successivo 1° ottobre 1985 rappresenta il primo strumento internazionale obbligatorio sulla protezione dei dati che ha per scopo "quello di garantire, sul territorio di ogni Parte, ad ogni persona fisica, qualunque siano la sua cittadinanza o residenza, il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano ("protezione dei dati")” (art. 1).

Essa costituisce la vera e propria Grundnorm (norma fondamentale e fondante) della successiva elaborazione legislativa in materia.

La Convenzione è aperta alla firma degli Stati membri del Consiglio d’Europa – istituzione intergovernativa fondata nel 1949, con lo scopo di tutelare i diritti umani e la legalità negli Stati membri, costruire una stabilità democratica in Europa, promuovere l´identità culturale europea e l´educazione nonché la coesione sociale ed i diritti sociali – e altresì all’adesione di Stati non membri (dal 2013 la decisione di invitare uno Stato non membro a firmare e ratificare o accedere ad un trattato del Consiglio d’Europa vale fino a 5 anni dalla sua adozione); ad oggi, la stessa è stata ratificata da 53 Stati, tra cui tutti gli Stati membri dell’Unione Europea (l’Italia ha formato la Convenzione il 2 febbraio 2983, l’ha ratificata il 29 marzo 1997 e la stessa è entrata in vigore il 1° luglio 1997) ed altresì Capo Verde, Mauritius, Messico, Senegal, Tunisia ed Uruguay.

Il testo in esame adotta una definizione di dato personale che segnerà la successiva produzione in materia, definendolo come "ogni informazione relativa ad una persona fisica identificata o identificabile (persona interessata) [o data subject nel testo inglese]" (art. 2 lett. a); cfr. art. 4 n. 1 GDPR).
La Convenzione si applica "ai casellari ed alle elaborazioni automatizzate di dati a carattere personale nei settori pubblici e privati" (art. 3, par. 1); tuttavia l’Italia, facendo uso delle possibilità riconosciute dall’art. 3, par. 2, ha dichiarato che applicherà la Convenzione anche "ad informazioni relative a gruppi di persone, associazioni, fondazioni, società, corporazioni o a qualsiasi altro ente consistente direttamente o indirettamente di persone fisiche e dotato o meno di personalità giuridica” (lett. b) ed altresì “alle collezioni di dati a carattere personale che non formano oggetto di elaborazione automatica" (lett. c)).

L’art. 5 detta alcuni fondamentali criteri in ordine alla qualità dei dati (art. 5), che devono essere:

  1. ottenuti ed elaborati lealmente e legalmente (cfr. “liceità, correttezza e trasparenza” nell’art. 5, par. 1, lett. a) GDPR);
  2. registrati per fini determinati e legittimi e non devono essere utilizzati in modo incompatibile con tali fini (cfr. “limitazione delle finalità” nell’art. 5, par. 1, lett. b) GDPR);
  3. adeguati, pertinenti e non eccessivi in rapporto ai fini per i quali sono registrati (cfr. “minimizzazione dei dati” nell’art. 5, par. 1, lett. c) GDPR);
  4. esatti e, se necessario, aggiornati (cfr. “esattezza” nell’art. 5, par. 1, lett. d) GDPR);
  5. conservati sotto una forma che permetta l’identificazione delle persone interessate per un periodo non superiore a quello necessario per i fini per i quali essi sono registrati (cfr. “limitazione della conservazione” nell’art. 5, par. 1, lett. e) GDPR).

Come noto, ai predetti criteri il GDPR aggiungerà poi un focus particolare sulla sicurezza (cfr. "integrità e riservatezza" nell’art. 5, par. 1, lett. f) GDPR).

All’art. 6 viene previsto un divieto generale di elaborazione automatica di "categorie speciali di dati" (special categories of data, che in Italia saranno meglio conosciuti quali "dati sensibili" e che il GDPR all’art. 9 definisce ora quali "categorie particolari di dati") che comprende quelli "che rivelano l’origine razziale, le opinioni politiche, le convinzioni religiose o altre convinzioni, nonché i dati a carattere personale relativi alla salute o alla vita sessuale"; tale divieto viene mitigato mediante il riconoscimento della possibilità offerta al diritto interno di prevedere "garanzie appropriate" per il trattamento.

Vengono, quindi, prescritte misure di sicurezza "idonee" volte a contrastare i possibili data breach quali "la distruzione accidentale o non autorizzata, o la perdita accidentale [perdita di integrità o disponibilità], nonché contro l’accesso, la modificazione o la diffusione non autorizzati [perdita di riservatezza]" (art. 7). Tali misure saranno poi descritte come "minime" nell’Allegato B al D. Lgs. 196/2003 (oggi abrogato dal D. Lgs. 101/2018) e successivamente "adeguate" nell’ottica di una (matura) accountability della quale è permeato il GDPR.

Una previsione lungimirante è quella che riconosce all’interessato un elenco di diritti, definiti "garanzie supplementari" (art. 8), tra i quali:

  1. conoscere l’esistenza di una collezione automatizzata di dati a carattere personale, i suoi fini principali, nonché l’identità e la residenza abituale o la sede principale del responsabile della collezione (cfr. "Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato" di cui all’art. 13 GDPR e "Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato" di cui all’art. 14 GDPR);
  2. ottenere a ragionevoli intervalli e senza eccessivo ritardo o spesa la conferma dell’esistenza o meno, nella collezione automatizzata, di dati a carattere personale che la riguardano e la comunicazione di tali dati in forma intellegibile (cfr. "diritto di accesso" di cui all’art. 15 GDPR);
  3. ottenere, all’occorrenza, la rettifica di tali dati o la loro cancellazione qualora essi siano stati elaborati in violazione delle disposizioni di diritto interno che danno attuazione ai principi fondamentali enunciati negli articoli 5 e 6 della presente Convenzione (cfr. "diritto di rettifica" di cui all’art. 16 GDPR);
  4. disporre di un ricorso se non viene dato seguito ad una domanda di conferma o, a seconda dei casi, di comunicazione, di rettifica o di cancellazione ai sensi delle lettere b e c (cfr. "Diritto di proporre reclamo all’autorità di controllo" di cui all’art. 77 GDPR).

La Convenzione, inoltre, impedisce di "proibire o sottoporre a una autorizzazione speciale" i trasferimenti dei dati personali all’estero, qualora la regolamentazione dell’altro Paese fornisca una protezione equivalente: tal circolazione senza necessità di autorizzazioni costituisce, forse, l’aspetto maggiormente confliggente con il quadro normativo che sarà poi delineato dalla Direttiva 95/46/CE.

Infine, occorre segnalare come il 18 maggio 2018, in occasione della Ministeriale di Elsinore, sia stato adottato un Protocollo di aggiornamento della Convenzione che si è reso necessario per continuare a rendere effettiva la tutela già prevista a fronte dell’avvento delle nuove tecnologie – nel frattempo sono trascorsi ben ventisette anni – ed anzi rafforzarne i meccanismi.

Sono state previste diverse novità, ed in particolare: il rafforzamento degli obblighi di trasparenza a carico dei titolari del trattamento; l’ampliamento dei diritti degli interessati, che ora racchiudono anche il diritto a non essere soggetto a decisioni puramente automatizzate (cfr. art. 22 GDPR) e a conoscere la logica del trattamento; maggiori garanzie per la sicurezza dei dati, incluso l’obbligo di notificare i data breach (artt. 33 e 34 GDPR), e di assicurare un approccio di privacy by design (art. 25 GDPR).

Il Comitato della Convenzione è chiamato a svolgere un ruolo nella valutazione dell’effettivo rispetto dei principi della stessa.

Sin da una prima lettura è, dunque, possibile osservare come il successivo sviluppo della protezione dei dati personali (o, più precisamente, della protezione delle persone fisiche con riguardo al trattamento dei dati personali) sia largamente debitore alla Convenzione in esame.

Si può notare, inoltre, come i criteri dettati in ordine alla qualità dei dati, mentre costituiscono un vincolo giuridico al trattamento, sono altresì espressione di una notevole "vocazione etica" degli estensori e dei firmatari: in particolare valori quali la liceità, la correttezza e la trasparenza costituiscono dei forti richiami ad un recupero valoriale che doveva – e continua tutt’oggi a dovere – mirare ad un aumento di consapevolezza ed un recupero di fiducia nel trattamento dei dati personali.

Forte è, ovviamente, la suggestione portata dalla 40a Conferenza Internazionale delle Autorità Garanti per la protezione dei dati personali, che si è svolta a Bruxelles, con un richiamo ad un nuovo "umanesimo digitale" al quale non si è sottratto nemmeno Tim Cook, CEO di Apple, il quale ha esortato anche gli USA a seguire la strada intrapresa in Europa mediante il GDPR con l’utilizzo della Privacy by Design, vale a dire la protezione dei dati sin dalla progettazione.

A tal proposito, UNIDPO crede fermamente nel valore etico della normativa, tanto nazionale quanto sovranazionale, che appronta una tutela ai diritti delle persone per il tramite della protezione dei dati personali ed è fortemente impegnata in tal senso; mostra, dal pari, una naturale vocazione verso la sensibilizzazione della coscienza collettiva in tal senso.