Il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.

La direttiva 95/46/CE, era stata adottata nel 1995 con due obiettivi: salvaguardare il diritto alla protezione dei dati e garantire la libera circolazione dei dati personali tra gli Stati membri. Ma gli incalzanti sviluppi tecnologici hanno, da una parte, ridotto notevolmente il livello di protezione dei dati personali e, dall’altra, hanno incrementato freneticamente la portata della condivisione e della raccolta di dati. 

Di conseguenza, pur rimanendo valida in termini di obiettivi e principi, la direttiva 95/46/CE non ha impedito la frammentazione delle modalità di applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica e la diffusa percezione nel pubblico che le operazioni online comportino notevoli rischi.

Era, allora, di fondamentale importanza un intervento normativo che risolvesse tali problematiche. Così, dopo quasi 4 anni da quando era stato presentata la proposta dalla Commissione UE nel gennaio del 2012, è stato trovato l’accordo per il nuovo Regolamento europeo sulla protezione dei dati, al fine di garantire una disciplina sulla protezione dei dati personali uniforme ed omogenea in tutta la UE, assicurare un livello coerente ed elevato di protezione e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione Europea.

Il Regolamento è entrato in vigore il 25 maggio 2016 e senza necessità di alcun recepimento con atti nazionali sarà operativo a decorrere dal 25 maggio 2018 per tutti i paesi dell’UE, uniformando così, contemporaneamente e sotto un unico codice, i 27 paesi dell’Unione Europea. Entro il 25 maggio 2018 dunque tutte le aziende PUBBLICHE e PRIVATE dovranno adeguarsi al Regolamento, pertanto, adottare politiche ed attuare misure adeguate per garantire ed essere  in  grado  di  dimostrare  che  il trattamento dei dati personali effettuato sia conforme, fin dalla fase embrionale, a tutte le disposizioni.

Per quanto riguarda l’Italia, il Regolamento sostituirà il Codice Privacy (Dlgs 196/2003) in vigore dal 1° gennaio 2004.

Alcune delle maggiori novità.

Campo d’applicazione: artt. 2 e 3. Il Regolamento si applica al trattamento dei dati personali:

  1. effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione;
  2. di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione.

Con questo regolamento, per la prima volta è introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE sancendo un principio di extraterritorialità della vigenza di tale Regolamento privacy.


Tutela dei minori:
Art. 8, Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione, “… il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trat
tamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolartutelaminorie della responsabilità genitoriale”.

Maggiore trasparenza: Art. 12, Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato, “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni … relative al trattamento in forma conctrasparenzaisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”. L’interessato ha una maggiore consapevolezza di chi e come gestisce i suoi dati personali e può esercitare i propri diritti più facilmente. Il Titolare del trattamento dovrà, infatti, adottare politiche concise, trasparenti, chiare e facilmente accessibili e fornire informazioni e comunicazioni con un linguaggio semplice e chiaro.

Diritto all’oblio: Art.17, Diritto alla cancellazione («diritto all’oblio»), comma 1,“L’interessato ha il diritto di ottenere dal titolare del trattamento la caoblioncellazione dei dati personali .. ”. Comma 2, “Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, adotta le misure ragionevoli per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali”. Con diritto all’oblio s’intende la possibilità di ogni individuo di richiedere (per motivazioni legittime) la cancellazione dei propri dati in possesso di terzi. Questo potrà accadere sia per tutelare il diritto, in certe circostanze, di essere dimenticati, sia, un diritto vero e proprio alla cancellazione del dato, ad esempio in ambito web.

Portabilità dei dati: Art. 20, Diritto alla portabilità dei dati, “L’interessato ha il diritto di ricevere in un formato strutturato, di uso portabilitàcomune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti”. L’interessato può dunque riavere, in un formato elettronico strutturato e di uso comune, i dati che ha fornito a un’azienda o a un servizio online e trasmetterli ad altri senza alcun impedimento.

Sportello unico: Cons. 127, “Ogni autorità di controllo che non agisce in qualità di autorità di controllo capofila dovrebbe essere competente a trattare casi locali qualora il titolare del trattamento o il responsabile del trattamento sia stabilito in più di uno Stato membro, ma l’oggetto dello specificsportellounicoo trattamento riguardi unicamente il trattamento effettuato in un singolo Stato membro e coinvolga soltanto interessati in tale singolo Stato membro … “. Mediante il “meccanismo dello sportello unico” l’interessato che non sia d’accordo sulle modalità di gestione dei propri dati, può rivolgersi all’autorità di protezione dati del suo Paese, indipendentemente dal luogo in cui è avvenuto il trattamento dei dati.

Sanzioni onerose: sanzioniArt.87, Condizioni generali per infliggere sanzioni amministrative pecuniarie, comma 4, “.. la violazione delle disposizioni è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente”.

Fonti

  1. Garante per la protezione dei dati personali, Il nuovo Regolamento europeo sulla protezione dei dati “Più diritti per i tuoi dati”.
  2. Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).