Nell’era del cyberspazio e di un’economia globale sempre più data-driven, in cui la circolazione dei dati è transfrontaliera di  default, si impone la necessità di assicurare una più pervasiva e uniforme disciplina sulla protezione dei dati personali. Ciò tuttavia si scontra con le difficoltà delle autorità nazionali che non sempre hanno a disposizione strumenti giuridici efficaci per regolare tali attività, peraltro in continua evoluzione.

Se il legislatore europeo, con la Direttiva 95/46/CE prima e il GDPR più recentemente, ha fornito una risposta a tale evidente esigenza, in ambito internazionale un tentativo in tal senso è stato effettuato con la Convenzione 108.

Nella sua originaria versione, risalente al 1981, era confinata al trattamento automatizzato di dati a carattere personale, mentre oggi, nella sua forma modernizzata (Convenzione 108+), ne è stato esteso l’ambito di applicazione anche ai trattamenti non automatizzati. Essa disciplina gli aspetti fondamentali del trattamento dei dati personali, recependo molteplici principi già fatti propri dal legislatore europeo con il GDPR, al contempo indirizzando diversi aspetti di estrema attualità quali quelli legati all’intelligenza artificiale. Le due convenzioni, rappresentano pertanto le prime risposte all’esigenza di una regolamentazione sulla protezione dei dati personali vincolante a livello internazionale, che va oltre l’ambito di applicazione territoriale del GDPR, tanto più rilevante se si pensa che la sua ratifica da parte di paesi terzi all’Ue rappresenta uno dei criteri di valutazione della decisione di adeguatezza da parte della Commissione europea.