Principi della Convenzione 108

I principi qui riassunti sono comuni al GDPR ed alle legislazioni più avanzate nel mondo per la protezione dei dati personali, e costituiscono una base minima che non limita la possibilità per le leggi nazionali di riconoscere ulteriori diritti ed una protezione più ampia. 

1. Legittimità del trattamento e qualità dei dati 

Il trattamento dei dati deve essere proporzionato ad un fine legittimo di chi lo effettua, e rispettare un giusto bilanciamentotra tutti gli interessi coinvolti da una parte, e i diritti e le libertà in gioco dall'altra. 

Il trattamento dei dati deve essere effettuato sulla base del consenso dell'interessato dei cui dati si tratta, o di altra valida base giuridica

Il trattamento dei dati deve essere equo e trasparente, con una soddisfacente informazione dell'interessato. 

Il trattamento deve essere effettuato per fini espliciti e specificati, e solo per quei fini, salvo il caso di trattamento per fini scientifici, d'archiviazione e storici, con la previsione di opportune salvaguardie. 

I dati devono essere accurati e, se necessario, aggiornati

I dati devono essere conservati solo per il tempo necessario a raggiungere i fini perseguiti. 

2. Categorie speciali di dati 

Il trattamento dei dati genetici, relativi a reati, procedimenti penali, condanne e misure di sicurezza, biometrici, relativi a origini razziali o etniche, opinioni e appartenenze politiche o sindacali, religione, salute e vita sessuale possono essere trattati solo con l'applicazione di particolari salvaguardie previste dalla legge a tutela dei diritti e libertà fondamentali dell'interessato, specialmente sotto il profilo della possibile discriminazione. 

3. Sicurezza dei dati 

I titolari, e gli eventuali responsabili del trattamento che vi provvedono su incarico dei titolari, devono prendere misure di sicurezza appropriate contro rischi quali l'accesso, la distruzione, l'uso, la modificazione, o la divulgazione dei dati, siano accidentali o non autorizzati. 

I titolari del trattamento devono notificare senza ritardo, almeno alle autorità di vigilanza competenti, le violazioni dei datiche possano seriamente mettere in pericolo i diritti e le libertà fondamentali degli interessati. 

4. Trasparenza del trattamento 

I titolari del trattamento devono informare gli interessati della propria identità e della propria sede, delle basi legali e dei fini del trattamento che intendono effettuare, delle categorie di dati personali trattati, degli eventuali destinatari, o categorie di destinatari, dei dati, dei modi di esercitare i diritti spettanti agli interessati e di tutti gli altri elementi opportuni al fine di assicurare un trattamento equo e trasparente dei dati personali, salvo che gli interessati non dispongano già per loro conto di queste informazioni. 

Se I dati personali non sono raccolti direttamente dagli interessati, i titolari non devono dare tutte queste informazioni se il trattamento è espressamente prescritto dalla legge o risulta impossibile dare l'informativa, o se richieda sforzi sproporzionati. 

5. Diritti degli interessati 

Ogni individuo ha il diritto di non essere soggetto a decisioni che abbiano un effetto significativo su di lui, e che siano basate solamente sul trattamento automatico di dati, senza che le sue opinioni siano state prese in considerazione; salvo che tali decisioni siano autorizzate dalla legge cui il titolare del trattamento è soggetto, che preveda tuttavia misure appropriate per la tutela dei diritti, delle libertà fondamentali e dei legittimi interessi dell'individuo stesso. 

Ogni individuo ha il diritto di ottenere, su richiesta, ad intervalli ragionevoli e senza eccessivi ritardi e spese, conferma dell'esistenza di trattamenti di dati personali che lo riguardano, la comunicazione dei dati trattati in forma intellegibile, tutte le informazioni disponibili sulla loro origine, sul periodo di conservazione così come ogni altra informazione che il titolare abbia il dovere di dare per assicurare la trasparenza del trattamento. 

Ogni individuo ha il diritto di ottenere, su richiesta, conoscenza della logica sottostante ad un trattamento quando i risultati dei quel trattamento gli sono applicati. 

Ogni individuo ha il diritto di fare obiezione, in ogni tempo, per ragioni inerenti la sua condizione, ad un trattamento che lo riguarda, a meno che il titolare non dimostri motivi legittimi per il trattamento che siano prevalenti rispetto ai diritti ed alle libertà fondamentali dell'individuo stesso. 

Ogni individuo ha il diritto di ottenere, su richiesta, gratuitamente e senza eccessivo ritardo, la rettificazione o la cancellazione, secondo i casi, dei dati che lo riguardano, se essi sono stati, o sono tuttora, soggetti a trattamenti illegittimi. 

Ogni individuo ha diritto di avere un rimedio effettivo se i suoi diritti e libertà fondamentali in materia di tutela dei dati personali sono stati violati. 

Ogni individuo ha diritto di essere assistito, a prescindere dalla sua nazionalità o residenza, da una autorità di vigilanza per esercitare i suoi diritti in materia di tutela dei dati personali. 

6. Obblighi aggiuntivi

I titolari, e gli eventuali responsabili del trattamento, devono prendere misure appropriate per adeguarsi e per dimostrare, in particolare modo all'autorità di vigilanza competente, che i trattamenti svolti sono adeguati. 

I titolari, e gli eventuali responsabili del trattamento devono esaminare l'impatto prevedibile dei trattamenti previsti sui diritti e libertà fondamentali degli interessati, prima di iniziare ad effettuarli, e devono progettare i trattamenti in modo da evitare o ridurre al minimo il rischio che tali diritti e libertà fondamentali vengano pregiudicati. 

I titolari, e gli eventuali responsabili del trattamento, devono prendere misure tecniche ed organizzative che tengano in conto le implicazioni del diritto alla protezione dei dati personali in tutte le fasi del trattamento. 

Questi obblighi possono essere adattati in base al rischio per gli interessi, i diritti e le libertà fondamentali degli interessati, al volume ed alla natura dei dati trattati, alla natura, ambito e fini del trattamento, ed alla dimensione del titolare o responsabile. 

7. Eccezioni 

Sono possibili eccezioni solo se previste per legge, nel rispetto dell'essenza dei diritti e delle libertà fondamentali, e che costituiscano misure necessarie e proporzionate in una società democratica per motivi di sicurezza nazionale, difesa, salute pubblica, importanti interessi economici e finanziari dello Stato, per assicurare l'imparzialità e indipendenza della giustizia, o per prevenzione, investigazione e perseguimento di reati e l'esecuzione di sanzioni penali, ed altri obbiettivi essenziali di pubblico interesse generale, ovvero per proteggere l'interessato o i diritti e libertà fondamentali di altri, specialmente la libertà di espressione. 

Sono inoltre possibili eccezioni se previste per legge in materia di archiviazione nel pubblico interesse, per ricerca storica e scientifica, o per fini statistici, quando non si vedano rischi o violazioni di diritti e libertà fondamentali degli interessati. 

In tutti i casi in cui siano previste eccezioni, la legge deve prevedere anche una supervisione effettiva ed indipendente. 

8. Flussi transfrontalieri di dati personali 

Il trasferimento transfrontaliereo di dati è libero a patto che la protezione dei dati personali sia sempre assicurata ad un livello appropriato dalla legge applicabile, o da strumenti legalmente vincolanti ed eseguibili, comprese le clausole standard. 

Inoltre, il trasferimento transfrontaliero di dati può effettuarsi sulla base del consenso esplicito, specifico e libero dell'interessato, debitamente informato dei rischi derivanti dall'assenza di salvaguardie appropriate, per specifici interessi dell'interessato che lo richiedono in quel caso particolare, o per legittimi interessi prevalenti in particolare interessi pubblici, previsti dalla legge e tali da costituire una misura necessaria e proporzionata in una società democratica, anche a tutela della libertà di espressione.