El Convenio al abrirse a la firma el 28 de enero de 1981, fue el primer instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos. El 18 de mayo de 2018 se adoptó un protocolo de enmienda. Para más información sobre la modernización del Convenio, véase Modernización del Convenio 108 (CAHDATA).

En virtud de este Convenio, las Partes deben adoptar las medidas necesarias con arreglo al Derecho nacional para aplicar sus principios a fin de garantizar, en su territorio, el respeto de los derechos humanos fundamentales en lo que respecta a la aplicación de la protección de datos.

En la lógica del Convenio, los artículos 8 y 10 no son contradictorios sino complementarios. Sin embargo, en la práctica, el disfrute de uno de estos derechos a veces se ve limitado por el otro. Por ello, el Tribunal Europeo de Derechos Humanos ha definido, en su jurisprudencia, los límites al ejercicio de cada uno de estos derechos y, más concretamente, en qué medida las autoridades públicas tienen derecho a interferir. Esta jurisprudencia es de gran interés para la continuación del trabajo del Consejo de Europa en el ámbito de la protección de datos, ya que ha sido y sigue siendo una fuente extremadamente importante de criterios para el desarrollo de normas nacionales en este ámbito. Así, en una sentencia (M.S. c. Suecia, de 27 de agosto de 1997), el Tribunal Europeo de Derechos Humanos "recuerda que la protección de los datos personales (...) reviste una importancia fundamental para el ejercicio del derecho al respeto de la vida privada y familiar garantizado por el artículo 8 del Convenio". Sin embargo, en los años siguientes a la adopción del Convenio Europeo de Derechos Humanos quedó claro que, para ser eficaz, la protección jurídica de la intimidad debía desarrollarse de manera más específica y sistemática.

Desde principios de los años sesenta, los rápidos avances en el ámbito del tratamiento electrónico de datos y la aparición de los primeros ordenadores centrales han permitido a las administraciones públicas y a las grandes empresas crear importantes bases de datos y mejorar e incrementar la recogida, el tratamiento y la interconexión de los datos personales. Si bien esto ha tenido grandes beneficios en términos de eficiencia y productividad, también ha dado lugar a una clara tendencia hacia el registro electrónico masivo de datos relativos a la privacidad de las personas. En respuesta a esta tendencia, el Consejo de Europa ha decidido establecer un marco de principios y normas específicos para evitar la recogida y el tratamiento injusto de datos personales.

Un primer paso en esta dirección se dio en 1973 y 1974 con la adopción de las Resoluciones (73) 22 y (74) 29 que definían los principios de la protección de datos personales en el tratamiento automatizado de bases de datos en los sectores público y privado. El objetivo era promover la elaboración de legislación nacional basada en esas resoluciones. Sin embargo, durante la redacción de estos textos, parecía que la protección general de los datos personales sólo sería eficaz si las normas nacionales se reforzaban aún más mediante normas internacionales vinculantes. La misma sugerencia se hizo en la Conferencia Europea de Ministros de Justicia en 1972.

Así, en 1981, tras cuatro años de negociaciones, se concluyó el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, conocido como Convenio 108. De conformidad con el presente Convenio, las Partes adoptarán, en su Derecho interno, las medidas necesarias para hacer efectivos los principios que en él se establecen en relación con los datos personales de todas las personas que se encuentren en su territorio. Estos principios se refieren, en particular, a la legalidad y la equidad de la recogida y el tratamiento automático de los datos, registrados para fines determinados y legítimos y no utilizados para fines incompatibles con dichos fines, ni almacenados más allá de lo necesario. También se refieren a la calidad de los datos y, en particular, a su adecuación, pertinencia y carácter no excesivo (proporcionalidad) o exactitud, a la confidencialidad de los datos sensibles, a la información del interesado y a su derecho de acceso y rectificación.

El Convenio también prevé la libre circulación de datos personales entre los Estados Parte en el Convenio. Esta libertad de circulación no puede restringirse por razones de protección de datos personales, a menos que las Partes establezcan excepciones a esta disposición, lo que pueden hacer en dos casos específicos: si la protección de datos personales en la otra Parte no es "equivalente" o si la transferencia tiene lugar efectivamente a un tercer Estado que no sea Parte en el Convenio.

El Convenio establece un Comité Asesor (T-PD), integrado por representantes de las Partes en el Convenio, complementado por observadores de otros Estados (miembros y no miembros) y organizaciones internacionales, que se encarga de la interpretación de las disposiciones y vela por que se facilite y mejore la aplicación del Convenio. También es el origen de la preparación de informes, guías o directrices, por ejemplo, sobre cláusulas contractuales que rigen la protección de datos cuando los datos personales se comunican a terceros no sujetos a un nivel adecuado de protección de datos o de protección de datos en relación con la biometría. En particular, este Comité adoptó una enmienda al Convenio 108 que permite a las Comunidades Europeas adherirse a dicho Convenio. Además, ha elaborado un protocolo adicional al Convenio 108 sobre las autoridades supervisoras y los flujos transfronterizos de datos, abierto a la firma en 2004. Dicho protocolo refuerza las autoridades supervisoras y prohíbe las corrientes transfronterizas de datos hacia un Estado u organización que no ofrezca un nivel adecuado de protección.

Dado que el artículo 4 establece que los Estados deben adoptar la legislación adecuada antes de convertirse en parte en el Convenio, 46 Estados han ratificado hasta ahora el Convenio y 35 Estados han ratificado el Protocolo Adicional. Otros se preparan para la ratificación de estos instrumentos que, junto con la jurisprudencia del Tribunal Europeo de Derechos Humanos, forman parte del acervo comunitario. Sin embargo, estos instrumentos no se limitan a los Estados miembros del Consejo de Europa, ya que el artículo 23 del Convenio establece que cualquier Estado no miembro del Consejo de Europa puede adherirse a ellos.

Es un hecho que desde la adopción del Convenio en 1981, el panorama social se ha transformado completamente, en particular con la llegada de los ordenadores personales e Internet, que permiten a cualquier persona u organización llevar a cabo un "tratamiento automatizado de datos". Entretanto, el desarrollo socioeconómico ha dado lugar a formas aún más complejas de organización, gestión y producción basadas en potentes sistemas de procesamiento. En estas condiciones, el individuo se convierte sin duda en un agente activo de la "sociedad de la información" que, a su vez, es cada vez más probable que infrinja su intimidad a través de los sistemas de información de muchos servicios públicos y privados, como bancos, entidades de crédito, seguridad social, seguros, policía o asistencia médica....

Esta evolución plantea un reto considerable desde el punto de vista de la protección de datos. Hoy en día, un número cada vez mayor de nuevos problemas y cuestiones prácticas se presentan a las autoridades nacionales de protección de datos, es decir, en la mayoría de los países, al Comisario de Protección de Datos. Estas autoridades, que, al igual que los defensores del pueblo, se han convertido en parte integrante del sistema de supervisión en una sociedad democrática, deben interpretar los principios del Convenio y aplicarlos a estos nuevos problemas y cuestiones. Sin embargo, la experiencia demuestra que ni los principios del Convenio ni las normas nacionales de protección de datos pueden regular con precisión todas las situaciones en las que se recogen datos personales en diferentes sectores: médico, seguridad social, seguros, banca, empleo, policía, telecomunicaciones, comercialización directa, etc. Huelga decir que en cada uno de estos sectores, los datos deben recopilarse y procesarse de acuerdo con los principios fundamentales del Convenio, pero los medios para lograrlo pueden ser diferentes. En algunos sectores, las condiciones pueden ser más flexibles que en otros y la autodisciplina puede estar más desarrollada en una profesión que en otra.

Por lo tanto, es necesario, para cada sector, seguir desarrollando los principios del Convenio. En lugar de enmendarlo o añadir protocolos, el Consejo de Europa prefirió utilizar otro instrumento para este fin, él de las recomendaciones a los gobiernos. Estas recomendaciones tienen la ventaja de ser más fáciles de preparar, adoptar y aplicar: la firma y ratificación de cada Estado miembro resulta innecesaria porque basta con que el Comité de Ministros las adopte por unanimidad. Por lo tanto, es más fácil adaptarlos a las circunstancias que modificar los convenios y, sobre todo, aunque no son jurídicamente vinculantes, contienen auténticas normas de referencia para todos los Estados miembros, sean o no partes en el Convenio. Por consiguiente, una recomendación constituye una invitación a considerar de buena fe la posibilidad de elaborar y aplicar el derecho interno de conformidad con la interpretación internacionalmente convenida de los principios enunciados en el Convenio.

Para establecer estas diversas recomendaciones -que requieren, además de cierta experiencia jurídica, un conocimiento específico del tema objeto de la recomendación- el Comité de Ministros creó en 1976 un Comité de Expertos en Protección de Datos, que más tarde se convirtió en el Grupo de Proyecto sobre Protección de Datos (CJ-PD) en 1978. Este comité está compuesto por expertos de cada uno de los Estados miembros, a veces acompañados de consultores especializados en el ámbito de que se trate.

A lo largo de los años, el Grupo de Proyecto no sólo ha desarrollado una serie de recomendaciones, sino que también ha publicado estudios, informes o directrices para reflejar la aplicación de los principios de protección de datos a las nuevas tecnologías, como las tarjetas inteligentes o la videovigilancia.

En los últimos años, con la ratificación del Convenio por la gran mayoría de los Estados miembros del Consejo de Europa, el mantenimiento de dos comités, uno integrado por representantes de las Partes en el Convenio y el otro de todos los Estados miembros del Consejo de Europa, ya no parece pertinente. Con la intención de racionalizar los recursos y los métodos de trabajo, los dos comités se fusionaron a finales de 2003 en un único comité ampliado que mantuvo el nombre de T-PD.