Traduzione
Protocollo di emendamento alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale Concluso a Strasburgo il 10 ottobre 2018 Approvato dall'Assemblea federale il ...1 Strumenti di ratifica depositati dalla Svizzera il ...
Entrato in vigore per la Svizzera il ...
Preambolo Gli Stati membri del Consiglio d'Europa e le altre Parti alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale (STE n. 108), aperta alla firma il 28 gennaio 19812 a Strasburgo (di seguito «la Convenzione»), tenendo conto della Risoluzione n. 3 sulla protezione dei dati e della vita privata nel terzo millennio, adottata durante la 30a Conferenza del Consiglio d'Europa dei Ministri della Giustizia (Istanbul, Turchia, 2426 novembre 2010); tenendo conto della Risoluzione 1843 (2011) dell'Assemblea parlamentare del Consiglio d'Europa sulla protezione della vita privata e dei dati a carattere personale in Internet e nei media in linea nonché della sua Risoluzione 1986 (2014) sul miglioramento della protezione e della sicurezza degli utenti nel ciberspazio; tenendo conto del Parere 296 (2017) adottato il 24 novembre 2017 dalla Commissione Permanente per conto dell'Assemblea parlamentare del Consiglio d'Europa, inerente al Progetto di Protocollo di emendamento alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale (STE n. 108) e al relativo rapporto esplicativo; considerando che dopo l'adozione della Convenzione sono emerse nuove sfide in materia di protezione delle persone in relazione all'elaborazione dei dati a carattere personale;
1 2
FF 2020 ...
RS 0.235.1
2019-2838
563
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
considerando la necessità di provvedere affinché la Convenzione continui a occupare un ruolo di primo piano nella protezione delle persone in relazione all'elaborazione dei dati a carattere personale e, più in generale, nella protezione dei diritti umani e delle libertà fondamentali, hanno convenuto quanto segue:
Art. 1 1.
Il primo paragrafo del preambolo della Convenzione è sostituito dal testo seguente: «Gli Stati membri del Consiglio d'Europa e gli altri firmatari della presente Convenzione,»
2.
Il terzo paragrafo del preambolo della Convenzione è sostituito dal testo seguente: «considerando la necessità di garantire la dignità umana, la protezione dei diritti umani e delle libertà fondamentali di ciascuno nonché, tenuto conto della diversificazione, dell'intensificazione e della globalizzazione delle elaborazioni dei dati e dei flussi di dati a carattere personale, l'autonomia personale fondata sul diritto di ciascuno di controllare i propri dati a carattere personale e la loro elaborazione;»
3.
Il quarto paragrafo del preambolo della Convenzione è sostituito dal testo seguente: «ricordando che il diritto alla protezione dei dati a carattere personale deve essere considerato in relazione al suo ruolo nella società e conciliato con altri diritti umani e libertà fondamentali, compresa la libertà di espressione;»
4.
Il paragrafo seguente è aggiunto dopo il quarto paragrafo del preambolo della Convenzione: «considerando che la presente Convenzione permette di tenere conto, nel quadro dell'attuazione delle sue disposizioni, del principio del diritto di accesso ai documenti ufficiali;»
5.
Il quinto paragrafo della Convenzione è abrogato. Un nuovo quinto e un nuovo sesto paragrafo sono aggiunti come segue: «riconoscendo la necessità di promuovere su scala mondiale i valori fondamentali del rispetto della vita privata e della protezione dei dati a carattere personale, favorendo in questo modo la libera circolazione delle informazioni tra i popoli;» «riconoscendo l'interesse a intensificare la cooperazione internazionale tra le parti alla Convenzione,»
564
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
Art. 2 L'articolo 1 è modificato come segue: «Art. 1
Oggetto e scopo
Scopo della presente Convenzione è quello di proteggere ogni persona fisica, quale che sia la sua nazionalità o la sua residenza, in relazione all'elaborazione dei dati a carattere personale, contribuendo così al rispetto dei suoi diritti umani e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata.» Art. 3 L'articolo 2 è modificato come segue: «Art. 2
Definizioni
Ai fini della presente Convenzione: a.
[invariata]
b.
«elaborazione di dati» significa qualsiasi operazione o insieme di operazioni effettuate su dati a carattere personale, quali la raccolta, la registrazione, la conservazione, la modificazione, l'estrazione, la comunicazione, la messa a disposizione, la cancellazione o la distruzione dei dati oppure l'effettuazione di operazioni logiche e/o aritmetiche su tali dati;
c.
se non è utilizzato alcun procedimento automatico, l'elaborazione di dati indica una o più operazioni effettuate su dati a carattere personale all'interno di un insieme strutturato di dati accessibili o recuperabili secondo criteri specifici;
d.
«titolare dell'elaborazione» significa la persona fisica o giuridica, la pubblica autorità, il servizio, l'agenzia o qualsiasi altro organismo che, singolarmente o insieme ad altri, ha facoltà di decidere dell'elaborazione dei dati;
e.
«destinatario» significa la persona fisica o giuridica, la pubblica autorità, il servizio, l'agenzia o qualsiasi altro organismo cui sono comunicati o resi accessibili dati;
f.
«responsabile dell'elaborazione» significa la persona fisica o giuridica, la pubblica autorità, il servizio, l'agenzia o qualsiasi altro organismo che elabora dati a carattere personale per conto del titolare dell'elaborazione.»
565
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
Art. 4 L'articolo 3 è modificato come segue: «Art. 3
Campo d'applicazione
1. Ciascuna Parte si impegna ad applicare la presente Convenzione alle elaborazioni di dati soggette alla propria giurisdizione nei settori pubblico e privato, garantendo così a ciascuno il diritto alla protezione dei propri dati a carattere personale.
2. La presente Convenzione non si applica all'elaborazione di dati effettuata da una persona nel quadro di attività a carattere esclusivamente personale o domestico.
3. [Abrogato] 4. [Abrogato] 5. [Abrogato] 6. [Abrogato]» Art. 5 Il titolo del capitolo II della Convenzione è modificato come segue: «Principi fondamentali per la protezione dei dati a carattere personale».
Art. 6 L'articolo 4 è modificato come segue: «Art. 4
Impegni delle Parti
1. Ciascuna Parte adotta, nell'ambito della propria legislazione, le misure necessarie per dare effetto alle disposizioni della presente Convenzione e per assicurarne l'effettiva applicazione.
2. Tali misure devono essere adottate da ciascuna Parte ed essere entrate in vigore al momento della ratifica della presente Convenzione o dell'adesione a quest'ultima.
3. Ciascuna Parte si impegna a: a.
consentire al Comitato della Convenzione di cui al capitolo VI di valutare l'efficacia delle misure adottate da ogni singola Parte nella propria legislazione per dare effetto alle disposizioni della presente Convenzione; e
b.
contribuire attivamente a questo processo di valutazione.»
566
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
Art. 7 L'articolo 5 e la sua rubrica sono modificati come segue: «Art. 5
Legittimità dell'elaborazione dei dati e qualità dei dati
1. L'elaborazione dei dati deve essere proporzionata allo scopo legittimo perseguito e riflettere in ogni sua fase un giusto equilibrio tra tutti gli interessi coinvolti, sia pubblici che privati, e i diritti e le libertà in gioco.
2. Ciascuna Parte prevede che l'elaborazione dei dati possa essere effettuata soltanto sulla base del consenso libero, specifico, informato e inequivocabile della persona interessata o in virtù di altre basi legittime previste dalla legge.
3. I dati a carattere personale oggetto di elaborazione sono elaborati in modo lecito.
4. I dati a carattere personale oggetto di elaborazione sono: a.
elaborati lealmente e in modo trasparente;
b.
raccolti per finalità esplicite, determinate e legittime, ed elaborati in modo compatibile con tali finalità; un'ulteriore elaborazione dei dati a carattere personale a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici è compatibile con tali finalità a condizione di applicare garanzie supplementari;
c.
adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono elaborati;
d.
esatti e, se necessario, aggiornati;
e.
conservati sotto una forma che permetta l'identificazione delle persone interessate per un periodo non superiore a quello necessario per i fini per i quali essi sono elaborati.»
Art. 8 L'articolo 6 è modificato come segue: «Art. 6
Categorie speciali di dati
1. L'elaborazione di:
dati genetici;
dati a carattere personale relativi a reati, procedure e condanne penali e alle misure di sicurezza correlate;
dati biometrici che identificano una persona in maniera univoca;
dati a carattere personale che rivelano informazioni riguardanti l'origine razziale o etnica, le opinioni politiche, l'appartenenza sindacale, le convinzioni religiose o di altro tipo, la salute o la vita sessuale,
è autorizzata soltanto a condizione che siano previste per legge garanzie adeguate a complemento di quelle della presente Convenzione.
567
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
2. Tali garanzie devono essere atte a prevenire i rischi che l'elaborazione di dati degni di particolare protezione può rappresentare per gli interessi, i diritti e le libertà fondamentali della persona interessata, in particolare il rischio di discriminazione.» Art. 9 L'articolo 7 è modificato come segue: «Art. 7
Sicurezza dei dati
1. Ciascuna Parte dispone che il titolare dell'elaborazione e, se del caso, il responsabile dell'elaborazione adottino misure di sicurezza adeguate contro rischi quali l'accesso accidentale o non autorizzato ai dati a carattere personale, la loro distruzione, perdita, utilizzo, modificazione o divulgazione.
2. Ciascuna Parte dispone che il titolare dell'elaborazione sia tenuto a comunicare quanto prima, almeno all'autorità di controllo competente ai sensi dell'articolo 15 della presente Convenzione, le violazioni di dati che possono compromettere seriamente i diritti e le libertà fondamentali delle persone interessate.» Art. 10 La Convenzione è completata da un nuovo articolo 8: «Art. 8
Trasparenza dell'elaborazione
1. Ciascuna Parte dispone che il titolare dell'elaborazione informi le persone interessate: a.
della sua identità e residenza o sede abituale;
b.
della base legale e delle finalità dell'elaborazione prevista;
c.
delle categorie dei dati a carattere personale elaborati;
d.
se del caso, dei destinatari o delle categorie di destinatari dei dati a carattere personale; e
e.
dei mezzi per esercitare i diritti di cui all'articolo 9,
nonché trasmetta tutte le altre informazioni complementari necessarie a garantire un'elaborazione corretta e trasparente dei dati a carattere personale.
2. Il paragrafo 1 non si applica se la persona interessata è già in possesso di tali informazioni.
3. Se i dati a carattere personale non sono raccolti direttamente presso le persone interessate, il titolare dell'elaborazione non è tenuto a fornire queste informazioni a condizione che l'elaborazione sia espressamente prevista dalla legge o che informare la persona interessata si riveli impossibile oppure esiga mezzi sproporzionati.»
568
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
Art. 11 L'articolo 8 della Convenzione diventa l'articolo 9; è modificato, anche nella sua rubrica, come segue: «Art. 9
Diritti delle persone interessate
1. Ogni persona ha il diritto di: a.
non essere oggetto di una decisione che abbia per lei ripercussioni notevoli, presa unicamente sulla base di un'elaborazione automatica dei suoi dati e senza avere la possibilità di far valere il suo punto di vista;
b.
ottenere, su richiesta, a intervalli ragionevoli e senza ritardi o spese eccessivi, la conferma di un'elaborazione di dati che la concernono, la comunicazione in forma intelligibile dei dati elaborati, tutte le informazioni disponibili sulla loro provenienza e sulla durata della loro conservazione nonché qualsiasi altra informazione che il titolare dell'elaborazione è tenuto a fornire in virtù della trasparenza dell'elaborazione ai sensi dell'articolo 8 paragrafo 1;
c.
essere informata, su richiesta, del ragionamento sottostante all'elaborazione dei dati, quando i risultati di quest'ultimo le sono applicati;
d.
opporsi in qualsiasi momento, in base a motivi legati alla sua situazione, all'elaborazione dei dati a carattere personale che la concernono, salvo che il titolare dell'elaborazione dimostri l'esistenza di motivi legittimi per procedere all'elaborazione che prevalgono sugli interessi, sui diritti o sulle libertà fondamentali della persona interessata;
e.
ottenere, su richiesta, senza ritardi o spese eccessivi, la rettifica di tali dati o, all'occorrenza, la loro cancellazione qualora essi siano o siano stati elaborati in violazione delle disposizioni della presente Convenzione;
f.
disporre di un ricorso conformemente all'articolo 12, se i suoi diritti previsti dalla presente Convenzione sono stati violati;
g.
beneficiare, quale che sia la sua nazionalità o la sua residenza, dell'assistenza di un'autorità di controllo ai sensi dell'articolo 15 per l'esercizio dei propri diritti previsti dalla presente Convenzione.
2. Il paragrafo 1 lettera a non si applica se la decisione è autorizzata da una legge cui è soggetto il titolare dell'elaborazione e che precisa anche misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi della persona interessata.» Art. 12 La Convenzione è completata da un nuovo articolo 10: «Art. 10
Obblighi supplementari
1. Ciascuna Parte dispone che il titolare dell'elaborazione e, se del caso, il responsabile dell'elaborazione prendano tutti i provvedimenti atti a soddisfare gli obblighi della presente Convenzione e siano in grado di dimostrare, fatta salva la legislazione 569
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
nazionale adottata conformemente all'articolo 11 paragrafo 3, in particolare all'autorità di controllo competente di cui all'articolo 15, che l'elaborazione di cui sono responsabili è conforme alle disposizioni della presente Convenzione.
2. Ciascuna Parte dispone che prima dell'inizio di qualsiasi elaborazione il titolare dell'elaborazione e, se del caso, il responsabile dell'elaborazione esaminino l'impatto potenziale sui diritti e sulle libertà fondamentali delle persone interessate dell'elaborazione dei dati prevista, progettando quest'ultima in modo da prevenire o minimizzare i rischi di ledere i suddetti diritti e libertà fondamentali.
3. Ciascuna Parte dispone che il titolare dell'elaborazione e, se del caso, il responsabile dell'elaborazione adottino misure tecniche e organizzative che tengano conto delle implicazioni del diritto alla protezione dei dati a carattere personale in tutte le fasi dell'elaborazione dei dati.
4. Ciascuna parte può, in considerazione dei rischi per gli interessi, i diritti e le libertà fondamentali delle persone interessate, adattare l'applicazione delle disposizioni dei paragrafi 1, 2 e 3 nella legge d'esecuzione della presente Convenzione, in base alla natura e al volume dei dati, alla natura, alla portata e alle finalità dell'elaborazione e, ove applicabile, alle dimensioni del titolare dell'elaborazione e del responsabile dell'elaborazione.» Art. 13 Gli articoli 912 della Convenzione diventano gli articoli 1114.
Art. 14 L'articolo 9 della Convenzione diventa l'articolo 11 ed è modificato come segue: «Art. 11
Eccezioni e restrizioni
1. Non è ammessa alcuna eccezione alle disposizioni di cui al presente capitolo, fatte salve le disposizioni di cui agli articoli 5 paragrafo 4, 7 paragrafo 2, 8 paragrafo 1, e all'articolo 9, se tale eccezione è prevista da una legge, rispetta l'essenza dei diritti e delle libertà fondamentali e costituisce una misura necessaria e proporzionata in una società democratica per: a.
la protezione della sicurezza nazionale, la difesa, la sicurezza pubblica, importanti interessi economici e finanziari dello Stato, l'imparzialità e l'indipendenza della magistratura, le attività di prevenzione, di indagine e di repressione dei reati, l'esecuzione di sanzioni penali, così come altri obiettivi essenziali di interesse pubblico generale;
b.
la protezione della persona interessata o dei diritti e delle libertà fondamentali di altri, in particolare la libertà d'espressione.
2. Restrizioni all'esercizio delle disposizioni di cui agli articoli 8 e 9 possono essere previste dalla legge per l'elaborazione dei dati utilizzati a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica oppure storica o a fini statistici, allor-
570
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
ché non vi sia rischio identificabile di pregiudizio ai diritti e alle libertà fondamentali delle persone interessate.
3. Oltre alle eccezioni di cui al paragrafo 1 del presente articolo, relative alle attività di elaborazione ai fini della sicurezza nazionale e della difesa, ciascuna Parte può disporre, per legge e soltanto nella misura in cui ciò costituisce una misura necessaria e proporzionata in una società democratica, eccezioni agli articoli 4 paragrafo 3, 14 paragrafi 5 e 6 e 15 paragrafo 2 lettere a, b, c e d.
Ciò non pregiudica il requisito secondo cui le attività di elaborazione ai fini della sicurezza nazionale e della difesa sono sottoposte a un controllo e a una supervisione indipendenti ed efficaci conformemente alla legislazione nazionale di ciascuna Parte.» Art. 15 L'articolo 10 della Convenzione diventa l'articolo 12 ed è modificato come segue: «Art. 12
Sanzioni e ricorsi
Ciascuna Parte si impegna a stabilire sanzioni e ricorsi giurisdizionali e non giurisdizionali appropriati per le violazioni delle disposizioni della presente Convenzione.» Art. 16 Il titolo del capitolo III della Convenzione è modificato come segue: «Flussi internazionali di dati a carattere personale».
Art. 17 L'articolo 12 della Convenzione diventa l'articolo 14 e integra l'articolo 2 del Protocollo aggiuntivo dell'8 novembre 20013 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati (Protocollo aggiuntivo). La disposizione è modificata come segue: «Art. 14
Flussi internazionali di dati a carattere personale
1. Una Parte non può, al solo fine della protezione dei dati a carattere personale, proibire o sottoporre a un'autorizzazione speciale il trasferimento di tali dati a un destinatario soggetto alla giurisdizione di un'altra Parte alla Convenzione. La Parte può tuttavia procedere in tal senso se sussiste un rischio reale e grave che il trasferimento a un'altra Parte, o da detta altra Parte a una non-Parte, abbia come risultato un aggiramento delle disposizioni della Convenzione. Una Parte può inoltre procedere in tal senso se è tenuta a rispettare le norme di protezione armonizzate condivise dagli Stati membri di un'organizzazione internazionale regionale.
3
RS 0.235.11
571
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
2. Quando il destinatario è soggetto alla giurisdizione di uno Stato o di una organizzazione internazionale che non è Parte alla presente Convenzione, il trasferimento dei dati a carattere personale può essere effettuato unicamente se è garantito un livello di protezione adeguato fondato sulle disposizioni della presente Convenzione.
3. Un livello di protezione dei dati adeguato può essere garantito da: a.
la legislazione di tale Stato od organizzazione internazionale, compresi i trattati o gli accordi internazionali applicabili; o
b.
garanzie specifiche o standardizzate, fissate da strumenti giuridici vincolanti e opponibili, adottate e attuate dalle persone coinvolte nel trasferimento e nella successiva elaborazione dei dati.
4. In deroga alle condizioni previste ai paragrafi precedenti, ciascuna Parte può autorizzare il trasferimento di dati a carattere personale se: a.
la persona interessata ha dato il proprio consenso esplicito, specifico e libero, dopo essere stata informata dei rischi conseguenti alla mancanza di garanzie adeguate; o
b.
gli interessi specifici della persona interessata lo richiedono in un caso particolare; o
c.
la legge prevede interessi legittimi preponderanti, in particolare interessi pubblici rilevanti, e il trasferimento costituisce una misura necessaria e proporzionata in una società democratica; o
d.
il trasferimento costituisce una misura necessaria e proporzionata in una società democratica per la libertà di espressione.
5. Ciascuna Parte dispone che l'autorità di controllo competente ai sensi dell'articolo 15 della presente Convenzione ottenga tutte le informazioni utili relative ai trasferimenti di dati di cui al paragrafo 3 lettera b e, su richiesta, al paragrafo 4, lettere b e c.
6. Ciascuna Parte dispone inoltre che l'autorità di controllo possa esigere dalla persona che trasferisce i dati di dimostrare l'efficacia delle garanzie fatte o l'esistenza di interessi legittimi preponderanti e che, per proteggere i diritti e le libertà fondamentali delle persone interessate, sia autorizzata a proibire, sospendere o vincolare a condizioni il trasferimento dei dati.» Art. 18 La Convenzione è completata da un nuovo capitolo IV: «Autorità di controllo».
572
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
Art. 19 Un nuovo articolo 15 integra l'articolo 1 del Protocollo aggiuntivo, che è modificato come segue: «Art. 15
Autorità di controllo
1. Ciascuna Parte dispone che una o più autorità siano incaricate di vigilare sul rispetto delle disposizioni della presente Convenzione.
2. A tal fine, queste autorità: a.
dispongono di poteri d'indagine e d'intervento;
b.
esercitano le funzioni relative ai trasferimenti di dati di cui all'articolo 14, in particolare l'approvazione delle garanzie standardizzate;
c.
dispongono del potere di decidere in merito alle violazioni delle disposizioni della presente Convenzione e possono, in particolare, imporre sanzioni amministrative;
d.
dispongono del potere di stare in giudizio o di portare alla conoscenza della competente autorità giudiziaria le violazioni alle disposizioni della presente Convenzione;
e.
sono incaricate di: I. sensibilizzare il pubblico in merito ai loro poteri, funzioni e attività, II. sensibilizzare il pubblico in merito ai diritti delle persone interessate e all'esercizio di tali diritti, III. sensibilizzare i titolari dell'elaborazione e i responsabili dell'elaborazione in merito alle loro responsabilità ai sensi della presente Convenzione,
particolare attenzione va rivolta al diritto alla protezione dei dati dei minori e di altre persone particolarmente vulnerabili.
3. Le autorità di controllo competenti sono consultate in merito a ogni proposta legislativa o amministrativa che implica l'elaborazione di dati a carattere personale.
4. Ciascuna autorità di controllo competente tratta le domande e i reclami di cui è investita dalle persone interessate in merito ai loro diritti alla protezione dei dati e informa queste persone dei risultati.
5. Le autorità di controllo agiscono in indipendenza e imparzialità nell'adempimento delle loro funzioni e nell'esercizio dei loro poteri e, così facendo, non sollecitano né accettano istruzioni.
6. Ciascuna Parte si assicura che le autorità di controllo abbiano le risorse necessarie per l'effettivo adempimento delle loro funzioni e per l'esercizio dei loro poteri.
7. Ciascuna autorità di controllo redige e pubblica un rapporto di attività periodico.
8. I membri e il personale delle autorità di controllo sono vincolati da un obbligo di riservatezza rispetto alle informazioni riservate cui hanno o hanno avuto accesso nell'adempimento delle loro funzioni e nell'esercizio dei loro poteri.
573
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
9. Le decisioni delle autorità di controllo possono essere oggetto di un ricorso giurisdizionale.
10. Le autorità di controllo non sono competenti per quanto riguarda l'elaborazione effettuata da organi nell'esercizio delle loro funzioni giurisdizionali.» Art. 20 1. I capitoli IVVII della Convenzione diventano i nuovi capitoli VVIII.
2. Il titolo del nuovo capitolo V è modificato come segue: «Cooperazione e assistenza reciproca».
3. La Convenzione è completata dall'articolo 17 e gli articoli 1327 diventano i nuovi articoli 1631.
Art. 21 L'articolo 13 della Convenzione diventa il nuovo articolo 16; è modificato, anche nella sua rubrica, come segue: «Art. 16
Designazione delle autorità di controllo
1. Le Parti si impegnano a cooperare e a fornirsi reciproca assistenza per l'attuazione della presente Convenzione.
2. A tal fine: a.
ciascuna Parte designa una o più autorità di controllo, ai sensi dell'articolo 15 della presente Convenzione, e ne comunica la denominazione e l'indirizzo al Segretario Generale del Consiglio d'Europa;
b.
ogni Parte che abbia designato più autorità di controllo indica, nella comunicazione di cui alla lettera precedente, la competenza di ciascuna autorità.
3. [Abrogato]» Art. 22 La Convenzione è completata da un nuovo articolo 17: «Art. 17
Forme di cooperazione
1. Le autorità di controllo cooperano fra loro nella misura necessaria all'adempimento delle loro funzioni e all'esercizio dei loro poteri, in particolare: a.
si forniscono assistenza reciproca mediante lo scambio di informazioni pertinenti e utili e cooperano fra loro a condizione che, per quanto riguarda la protezione dei dati a carattere personale, tutte le regole e le garanzie della presente Convenzione siano rispettate;
b.
coordinano le indagini o gli interventi o svolgono azioni congiunte;
574
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
c.
FF 2020
forniscono informazioni e documenti sulla loro legislazione e sulla loro prassi amministrativa in materia di protezione dei dati.
2. Le informazioni di cui al paragrafo 1 non includono i dati a carattere personale oggetto di elaborazione, a meno che questi dati siano essenziali per la cooperazione o che la persona interessata abbia dato il proprio consenso esplicito, specifico, libero e informato.
3. Per organizzare la cooperazione e adempiere le funzioni di cui sopra, le autorità di controllo delle Parti costituiscono una rete.» Art. 23 L'articolo 14 della Convenzione diventa il nuovo articolo 18; è modificato, anche nella sua rubrica, come segue: «Art. 18
Assistenza alle persone interessate
1. Ciascuna Parte presta assistenza a ogni persona interessata, quale che sia la sua nazionalità o la sua residenza, per l'esercizio dei suoi diritti previsti dall'articolo 9 della presente Convenzione.
2. Se la persona interessata risiede sul territorio di un'altra Parte, deve avere la facoltà di presentare la richiesta per il tramite dell'autorità di controllo designata da tale Parte.
3. La richiesta di assistenza deve contenere tutte le indicazioni necessarie, concernenti in particolare: a.
il nome, l'indirizzo e tutti gli altri elementi rilevanti per l'identificazione della persona interessata che presenta la richiesta;
b.
l'elaborazione alla quale si riferisce la richiesta o il titolare dell'elaborazione corrispondente;
c.
l'oggetto della richiesta.»
Art. 24 L'articolo 15 della Convenzione diventa il nuovo articolo 19; è modificato, anche nella sua rubrica, come segue: «Art. 19
Garanzie
1. L'autorità di controllo che abbia ricevuto informazioni da un'altra autorità di controllo, sia a sostegno di una richiesta sia in risposta ad una richiesta da essa stessa formulata, non potrà fare uso di tali informazioni per fini diversi da quelli specificati nella richiesta.
2. In nessun caso un'autorità di controllo è autorizzata a presentare una richiesta a nome di una persona interessata, di sua propria iniziativa e senza l'esplicito consenso di tale persona.» 575
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
Art. 25 L'articolo 16 della Convenzione diventa il nuovo articolo 20; è modificato, anche nella sua rubrica, come segue: «Art. 20
Rifiuto di dar corso a richieste
L'autorità di controllo a cui è stata indirizzata una richiesta ai sensi dell'articolo 17 della presente Convenzione non può rifiutare di darvi corso salvo che: a.
la richiesta sia incompatibile con le sue competenze;
b.
[Concerne soltanto il testo tedesco];
c.
l'esecuzione della richiesta sarebbe incompatibile con la sovranità, la sicurezza nazionale o l'ordine pubblico della Parte che ha designato l'autorità di controllo, o con i diritti e le libertà fondamentali delle persone secondo la giurisdizione di tale Parte.»
Art. 26 L'articolo 17 della Convenzione diventa il nuovo articolo 21; è modificato, anche nella sua rubrica, come segue: «Art. 21
Spese e procedure
1. La cooperazione e l'assistenza reciproca che le Parti si accordano ai sensi dell'articolo 17 e l'assistenza che esse forniscono alle persone interessate ai sensi degli articoli 9 e 18 non daranno luogo al pagamento di spese e diritti eccettuati quelli relativi ad esperti ed interpreti. Tali spese e diritti saranno a carico della Parte che ha presentato la richiesta.
2. [Invariato] 3. [Invariato]» Art. 27 Il titolo del nuovo capitolo VI è modificato come segue: «Comitato della Convenzione».
Art. 28 L'articolo 18 della Convenzione diventa il nuovo articolo 22 ed è modificato come segue: «Art. 22
Composizione del Comitato
1. Un Comitato della Convenzione sarà costituito dopo l'entrata in vigore della presente Convenzione.
2. [Invariato] 576
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
3. II Comitato della Convenzione può, mediante decisione presa da una maggioranza di due terzi dei rappresentanti delle Parti, invitare un osservatore a essere rappresentato alle sue riunioni.
4. Ciascuna Parte che non è membro del Consiglio d'Europa contribuisce al finanziamento delle attività del Comitato della Convenzione secondo le modalità definite dal Comitato dei Ministri d'intesa con tale Parte.» Art. 29 L'articolo 19 della Convenzione diventa il nuovo articolo 23 ed è modificato come segue: «Art. 23
Funzioni del Comitato
Il Comitato della Convenzione: a.
può fare raccomandazioni al fine di facilitare o migliorare l'applicazione della Convenzione;
b.
può fare proposte di emendamento della presente Convenzione conformemente all'articolo 25;
c.
formula un parere su ogni proposta di emendamento della presente Convenzione che viene ad esso presentata conformemente all'articolo 25 paragrafo 3;
d.
può esprimere un parere su ogni questione relativa all'interpretazione o all'applicazione della presente Convenzione;
e.
formula, prima di ogni nuova adesione alla Convenzione, un parere all'indirizzo del Comitato dei Ministri sul livello di protezione dei dati a carattere personale garantito dal candidato all'adesione e raccomanda, se del caso, le misure da adottare al fine di raggiungere la conformità con le disposizioni della presente Convenzione;
f.
può, su richiesta di uno Stato o di una organizzazione internazionale, valutare se il loro livello di protezione dei dati a carattere personale è conforme alle disposizioni della presente Convenzione e raccomanda, se del caso, le misure da adottare al fine di raggiungere tale conformità;
g.
può sviluppare o approvare modelli di garanzie standardizzate ai sensi dell'articolo 14;
h.
verifica l'attuazione della presente Convenzione ad opera delle Parti e raccomanda le misure da adottare in caso una Parte violi la presente Convenzione;
i.
agevola all'occorrenza il componimento amichevole di qualsiasi difficoltà d'applicazione della presente Convenzione.»
577
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
Art. 30 L'articolo 20 della Convenzione diventa il nuovo articolo 24 ed è modificato come segue: «Art. 24
Procedura
1. II Comitato della Convenzione è convocato dal Segretario Generale del Consiglio d'Europa. Tiene la sua prima riunione entro 12 mesi dall'entrata in vigore della presente Convenzione. Successivamente si riunisce almeno una volta all'anno e, in ogni caso, ogni qualvolta un terzo dei rappresentanti delle Parti richieda la sua convocazione.
2. Al termine di ciascuna delle sue riunioni, il Comitato della Convenzione presenta al Comitato dei Ministri del Consiglio d'Europa un rapporto sui suoi lavori e sul funzionamento della presente Convenzione.
3. Le modalità di voto in seno al Comitato della Convenzione sono stabilite negli elementi per il regolamento interno annessi al Protocollo di emendamento del 10 ottobre 20184 alla presente Convenzione.
4. Il Comitato della Convenzione stabilisce gli ulteriori elementi del suo regolamento interno e in particolare le procedure di valutazione e di verifica previste agli articoli 4 paragrafo 3 e 23 lettere e, f e h, secondo criteri oggettivi.» Art. 31 L'articolo 21 della Convenzione diventa il nuovo articolo 25 ed è modificato come segue: «Art. 25
Emendamenti
1. Emendamenti alla presente Convenzione possono essere proposti da una Parte, dal Comitato dei Ministri del Consiglio d'Europa o dal Comitato della Convenzione.
2. Ogni proposta di emendamento viene comunicata dal Segretario Generale del Consiglio d'Europa alle Parti alla presente Convenzione, agli altri Stati membri del Consiglio d'Europa, all'Unione europea e a tutti gli Stati non membri od organizzazioni internazionali che sono stati invitati ad aderire alla presente Convenzione conformemente alle disposizioni dell'articolo 27.
3. Inoltre, ogni emendamento proposto da una Parte o dal Comitato dei Ministri viene comunicato al Comitato della Convenzione, che presenta al Comitato dei Ministri il suo parere sull'emendamento proposto.
4. II Comitato dei Ministri esamina l'emendamento proposto ed ogni parere presentato dal Comitato della Convenzione e può approvare l'emendamento.
5. [Invariato]
4
578
FF 2020 563
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
6. [Invariato] 7. Per il resto, dopo aver consultato il Comitato della Convenzione, il Comitato dei Ministri può decidere all'unanimità che un determinato emendamento entrerà in vigore allo scadere di un periodo di tre anni a decorrere dalla data alla quale è stato aperto all'accettazione, fatto salvo il caso in cui una Parte ha notificato al Segretario Generale del Consiglio d'Europa un'obiezione alla sua entrata in vigore. Nel caso in cui tale obiezione sia stata notificata, l'emendamento entrerà in vigore il primo giorno del mese successivo alla data alla quale la Parte che ha notificato l'obiezione avrà depositato il suo strumento di accettazione presso il Segretario Generale del Consiglio d'Europa.» Art. 32 L'articolo 22 della Convenzione diventa il nuovo articolo 26 ed è modificato come segue: «Art. 26
Entrata in vigore
1. La presente Convenzione è aperta alla firma degli Stati membri del Consiglio d'Europa e dell'Unione europea. Sarà sottoposta a ratifica, accettazione o approvazione. Gli strumenti di ratifica, d'accettazione o di approvazione saranno depositati presso il Segretario Generale del Consiglio d'Europa.
2. [Invariato] 3. Per ogni Stato parte che esprimerà successivamente il suo consenso ad essere vincolato dalla Convenzione, questa entrerà in vigore il primo giorno del mese successivo alla scadenza di un periodo di tre mesi dopo la data del deposito dello strumento di ratifica, di accettazione o di approvazione.» Art. 33 L'articolo 23 della Convenzione diventa il nuovo articolo 27; è modificato, anche nella sua rubrica, come segue: «Art. 27
Adesione di Stati non membri o di organizzazioni internazionali
1. Dopo l'entrata in vigore della presente Convenzione, il Comitato dei Ministri del Consiglio d'Europa, previa consultazione e consenso unanime delle Parti e alla luce del parere formulato dal Comitato della Convenzione ai sensi dell'articolo 23 lettera e, potrà invitare qualsiasi Stato non membro del Consiglio d'Europa o una organizzazione internazionale ad aderire alla presente Convenzione mediante una decisione presa con la maggioranza prevista dall'articolo 20 lettera d dello Statuto del Consiglio d'Europa e all'unanimità dei rappresentanti degli Stati contraenti aventi diritto di sedere al Comitato dei Ministri.
2. Per ogni Stato od organizzazione internazionale che aderisce alla presente Convenzione conformemente al paragrafo 1, la Convenzione entrerà in vigore il primo giorno del mese successivo alla scadenza di un periodo di tre mesi dopo la data del 579
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
deposito dello strumento di adesione presso il Segretario Generale del Consiglio d'Europa.» Art. 34 L'articolo 24 della Convenzione diventa il nuovo articolo 28 ed è modificato come segue: «Art. 28
Clausola territoriale
1. Ogni Stato, l'Unione europea o un'altra organizzazione internazionale può, al momento della firma o del deposito del suo strumento di ratifica, di accettazione, di approvazione o di adesione, specificare il territorio o i territori ai quali si applicherà la presente Convenzione.
2. Ogni Stato, l'Unione europea o un'altra organizzazione internazionale può, in qualsiasi momento successivo, mediante una dichiarazione indirizzata al Segretario Generale del Consiglio d'Europa, estendere l'applicazione della presente Convenzione a qualsiasi altro territorio specificato nella dichiarazione. La Convenzione entrerà in vigore per tale territorio il primo giorno del mese successivo alla scadenza di un periodo di tre mesi dopo la data della ricezione della dichiarazione da parte del Segretario Generale.
3. [Invariato]» Art. 35 L'articolo 27 della Convenzione diventa il nuovo articolo 31 ed è modificato come segue: «Art. 31
Notificazioni
II Segretario Generale del Consiglio d'Europa notificherà agli Stati parte del Consiglio e a ogni Stato che abbia aderito alla presente Convenzione: a.
[invariata]
b.
[invariata]
c.
ogni data di entrata in vigore della presente Convenzione in conformità agli articoli 26, 27 e 28 della stessa;
d.
[invariata]»
Art. 36
Firma, ratifica e adesione
1. Il presente Protocollo è aperto alla firma degli Stati contraenti della Convenzione.
È sottoposto a ratifica, accettazione o approvazione. Gli strumenti di ratifica, di accettazione o di approvazione saranno depositati presso il Segretario Generale del Consiglio d'Europa.
580
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
2. Dopo l'apertura alla firma del presente protocollo e prima della sua entrata in vigore, ogni altro Stato esprime il suo consenso a essere vincolato dal presente Protocollo mediante adesione. Non può diventare Parte alla Convenzione senza aderire simultaneamente al presente Protocollo.
Art. 37
Entrata in vigore
1. Il presente Protocollo entrerà in vigore il primo giorno del mese successivo alla scadenza di un periodo di tre mesi dopo la data alla quale tutte le Parti alla Convenzione avranno espresso il loro consenso a essere vincolate dal Protocollo conformemente alle disposizioni dell'articolo 36 paragrafo 1.
2. Se non sarà entrato in vigore conformemente al paragrafo 1, alla scadenza di un periodo di cinque anni dopo la data alla quale è stato aperto alla firma, il presente Protocollo entrerà in vigore per gli Stati che hanno espresso il consenso a esserne vincolati conformemente al paragrafo 1, a condizione che conti almeno 38 Parti. Per le Parti al Protocollo, tutti gli emendamenti alla Convenzione avranno effetto immediatamente dopo la sua entrata in vigore.
3. In attesa dell'entrata in vigore del presente Protocollo e ferme restando le disposizioni relative all'entrata in vigore e all'adesione di Stati non membri o di organizzazioni internazionali, una Parte alla Convenzione può, al momento della firma del presente Protocollo o in qualsiasi momento successivo, dichiarare che applicherà provvisoriamente le disposizioni ivi contenute. In tal caso, dette disposizioni si applicheranno esclusivamente alle Parti alla Convenzione che hanno formulato una tale dichiarazione. Detta dichiarazione avrà effetto il primo giorno del terzo mese successivo alla data della sua ricezione da parte del Segretario Generale del Consiglio d'Europa.
4. Dalla data di entrata in vigore del presente Protocollo, il Protocollo aggiuntivo dell'8 novembre 20015 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati è abrogato.
5. Dalla data di entrata in vigore del presente Protocollo, gli emendamenti alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale, approvati dal Comitato dei Ministri a Strasburgo il 15 giugno 1999, diventano privi di oggetto.
Art. 38
Dichiarazioni relative alla Convenzione
Dalla data di entrata in vigore del presente Protocollo, le dichiarazioni fornite dalle Parti ai sensi dell'articolo 3 decadono.
Art. 39
Riserve
Non è ammessa alcuna riserva alle disposizioni del presente Protocollo.
5
RS 0.235.11
581
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
Art. 40
FF 2020
Notificazioni
II Segretario Generale del Consiglio d'Europa notificherà agli Stati membri del Consiglio d'Europa e ad ogni altra Parte alla Convenzione: a.
ogni firma;
b.
il deposito di ogni strumento di ratifica, di accettazione, di approvazione o di adesione;
c.
la data di entrata in vigore del presente Protocollo, conformemente al suo articolo 37;
d.
ogni altro atto, notificazione o comunicazione relativo al presente Protocollo.
In fede di che, i sottoscritti, debitamente autorizzati, hanno firmato il presente Protocollo.
Fatto a Strasburgo, il 10 ottobre 2018, in francese e in inglese, i due testi facenti egualmente fede, in un solo esemplare che sarà depositato negli archivi del Consiglio d'Europa. Il Segretario Generale del Consiglio d'Europa ne trasmetterà una copia certificata conforme a ciascuno degli Stati membri del Consiglio d'Europa, alle altre Parti alla Convenzione e a ogni Stato invitato ad aderire alla Convenzione.
582
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
FF 2020
Allegato al Protocollo: Elementi per il regolamento interno del Comitato della Convenzione 1. Ciascuna Parte ha diritto di voto ed è titolare di un voto.
2. Il quorum necessario per tenere una riunione del Comitato della Convenzione è costituito dalla maggioranza dei due terzi dei rappresentanti delle Parti. In caso il Protocollo di emendamento alla Convenzione entrasse in vigore ai sensi dell'articolo 37 paragrafo 2 prima di entrare in vigore per tutti gli Stati contraenti alla Convenzione, il quorum necessario per tenere una riunione del Comitato della Convenzione sarà di almeno 34 Parti al Protocollo.
3. Le decisioni di cui all'articolo 23 sono prese con una maggioranza di quattro quinti. Le decisioni di cui all'articolo 23 lettera h, sono prese con una maggioranza di quattro quinti compresa la maggioranza dei voti degli Stati parte non membri di un'organizzazione d'integrazione regionale Parte alla Convenzione.
4. Quando il Comitato della Convenzione prende una decisione di cui all'articolo 23 lettera h, la Parte interessata dalla verifica non vota. Se tale decisione concerne una questione di competenza di un'organizzazione d'integrazione regionale, né l'organizzazione né i suoi Stati membri votano.
5. Le decisioni su questioni procedurali sono prese a maggioranza semplice.
6. Le organizzazioni d'integrazione regionale, negli ambiti di loro competenza, possono esercitare il loro diritto di voto in seno al Comitato della Convenzione con un numero di voti pari al numero dei loro Stati membri che sono Parte alla Convenzione. Una tale organizzazione non vota se uno dei suoi Stati membri esercita il proprio diritto di voto.
7. In caso di voto, tutte le Parti vengono informate circa l'oggetto e il momento del voto; viene loro comunicato anche se il diritto di voto sarà esercitato dalle singole Parti o da un'organizzazione d'integrazione regionale in nome dei suoi Stati membri.
8. Il Comitato della Convenzione può emendare successivamente il regolamento interno con una maggioranza dei due terzi delle Parti, a eccezione delle modalità di voto, che possono essere emendate esclusivamente all'unanimità e a cui si applica l'articolo 25 della Convenzione.
583
Protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. Prot.
584
FF 2020