“Anniversari” e “nascite” nella disciplina internazionale e dell’Unione europea relativa all’ambito della tutela dei dati personali
Il 25 maggio di quest’anno sono trascorsi tre anni da quando trova applicazione il Regolamento UE 2016/279 del Parlamento europeo e del Consiglio, anche noto come GDPR (General Data Protection Regulation), in ordine alla protezione dei dati personali. La tutela della materia in questione, nella sua dimensione internazionale, si è di recente arricchita a seguito del varo del Protocollo alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, adottato il 18 maggio 2018, durante la centoventesima sessione del Comitato dei ministri del Consiglio d’Europa svoltasi a Elsinore, in Danimarca. Aperto alla firma il 10 ottobre 2018, è stato sottoscritto dall’Italia il 5 marzo 2019; con la legge 22 aprile 2021 n. 60, il Parlamento italiano ne ha autorizzato la ratifica ed esecuzione e in data 11 maggio 2021, nel giorno successivo alla sua pubblicazione, se ne è prodotta l’entrata in vigore.
La Convenzione suddetta, adottata a Strasburgo il 28 gennaio 1981, si contraddistingue per essere l’unica fonte internazionale giuridicamente vincolante nella materia in oggetto. I lavori del Protocollo sono coevi a quelli che hanno portato all’approvazione del GDPR: una contestualità sul piano temporale che evidenzia ‒ da un lato, per l’UE ‒ la necessità di dotarsi di una disciplina completa sul punto e ‒ dall’altro, per la “Grande Europa” ‒ la necessità di ammodernare quella già vigente. In entrambi i casi, è presente l’esigenza di superare normative previgenti, ormai non più idonee a tutelare dimensioni assiologiche chiave della materia de qua quali il diritto fondamentale alla protezione dei dati personali e l’autodeterminazione informativa. In particolare, per quel che interessa il Protocollo, come precisato nel Preambolo, la sua introduzione si spiega alla luce delle nuove sfide che la materia regolata dal Trattato ha attraversato negli ultimi anni, specie sul punto delle minacce alla privacy, nonché della «necessità di garantire che la Convenzione continui a svolgere il suo ruolo preminente nella protezione delle persone in relazione al trattamento dei dati personali e, più in generale, nella protezione dei diritti umani e delle libertà fondamentali»; sfide che l’ordito normativo della Convenzione ‒ che risale all’inizio degli anni Ottanta ed è “figlia” dell’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali ‒ non si dimostrava in grado di abbracciare, a motivo dell’incidenza evidente e pervasiva che le nuove tecnologie dell’informazione e della comunicazione registrano ormai nelle dinamiche della vita dei singoli e della società (un esempio su tutti: le criticità legate al flusso transfrontaliero dei dati). Per tali ragioni, la c.d. “Convenzione 108” è oggi diventata la c.d. “Convenzione 108+”.
Già sul piano definitorio si colgono aspetti di novità. Sia sufficiente considerare, ad esempio, che il concetto della «collezione automatizzata di dati», intesa come «qualsiasi insieme di informazioni oggetto di elaborazione automatica» è stato sostituito da quello di «trattamento dei dati», di per sé maggiormente idoneo a ricomprendere «qualsiasi operazione o insieme di operazioni eseguite su dati personali, quali raccolta, conservazione, alterazione, reperimento, divulgazione, messa a disposizione, cancellazione o distruzione di, o esecuzione di logiche e operazioni aritmetiche su tali dati» (art. 3, lett. b). Il «detentore di una collezione di dati» diventa il «titolare del trattamento», cui spetta il «potere decisionale in relazione al trattamento dei dati» (art. 3, lett. d). Come complessivamente si evince, l’ambito applicativo della Convenzione non risulta più limitato ai trattamenti automatizzati, come era in origine, ma copre anche i trattamenti non automatizzati.
L’attenzione rivolta ai profili concernenti la protezione del dato, cui è dedicato l’intero Capitolo II, ben si inscrive nelle già ricordate dimensioni della tutela del diritto fondamentale alla protezione dei dati personali e dell’autodeterminazione informativa. Sul piano della legittimità dell’elaborazione dei dati (art. 5), se prima il dettato normativo si occupava della «qualità dei dati» (tale era anche la rubrica dell’articolo), disponendo una serie di requisiti che il dato avrebbe dovuto possedere, adesso si precisa che il trattamento dei dati deve essere «proporzionato allo scopo legittimo perseguito e deve riflettere in tutte le fasi del trattamento un giusto equilibrio tra tutti gli interessi in questione, siano essi pubblici o privati, e i diritti e le libertà in gioco». Per quel che concerne le categorie speciali di dati, quali, ad esempio, i dati genetici, i dati personali attinenti a infrazioni, procedimenti e condanne penali e misure di sicurezza o i dati che rivelano l’origine razziale o etnica, la salute o la vita sessuale (art. 6), interessante appare il riferimento alla necessità di tutela contro i rischi cui il trattamento di essi è potenzialmente esposto, in particolare il rischio di discriminazione. Nell’ambito della protezione del dato, non poteva essere tralasciato un aspetto centrale quale la trasparenza. Nel nuovo art. 8, rubricato «Trasparenza del trattamento», sono posti rilevanti obblighi informativi a carico del titolare del trattamento nei confronti degli interessati. Appunto i soggetti interessati sono fra i destinatari principali del nuovo intervento normativo: il precedente art. 8, che recava «Garanzie supplementari per la persona interessata», è oggi sostituito dall’art. 9, che disciplina i «Diritti dell’interessato», dalla trama normativa assai articolata. Ancora, va rilevato come i principi di proporzionalità e di minimizzazione dei dati siano presidiati con maggior rigore e quanto un rafforzamento delle garanzie interessi anche un’area nevralgica quale il flusso transfrontaliero dei dati.
In conclusione, è da osservarsi come le rilevanti novità del Protocollo, unitamente alla disciplina dettata dal Regolamento U.E. 2016/279, siano tasselli fondamentali per la costruzione del complesso puzzle dello European Digital Constitutionalism (su cui, di recente, De Gregorio), ricco di sfide sempre nuove. Una più ampia tutela del dato personale, quale quella introdotta dalla “Convenzione 108+”, contribuisce a integrare la garanzia dei diritti fondamentali nella rete, offrendo nuovi elementi per un Internet bill of rights (in merito al quale cfr. Pollicino, Bassini).