E’ prevista per la data odierna, dopo due anni dall’adozione, la piena entrata in vigore del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonchè alla libera circolazione degli stessi, che abroga la direttiva 95/46/CE.
Il regolamento generale sulla protezione dei dati, conosciuto anche con l’acronimo GDPR (general data protection regulation), persegue l’obiettivo di assicurare alle persone fisiche un più elevato ed efficace livello di protezione, per quanto concerne il trattamento dei loro dati personali, garantendo un’applicazione omogenea delle norme in tutti i paesi dell’Unione europea. Certezza del diritto e trasparenza sono i pilastri del nuovo testo normativo.
Fra le principali novità spiccano le norme riferite a:
– consenso dell’interessato al trattamento dei dati, che dovrà essere espresso mediante atto positivo inequivocabile;
– obbligo di rendere un’informativa trasparente e facilmente comprensibile;
– diritto all’oblio, ovvero alla cancellazione dei dati medesimi;
– limiti al trattamento automatizzato dei dati;
– introduzione della figura del responsabile della protezione dei dati (data protection officer) incaricato di informare e fornire consulenza al titolare o al responsabile del trattamento ed ai loro dipendenti, sorvegliare l’osservanza del regolamento, fornire pareri e cooperare con l’autorità di controllo;
– responsabilità ed obblighi connessi alle ipotesi di violazione (data breach);
– class action.
Il regolamento si applica alle persone fisiche a prescindere dalla nazionalità o dal luogo di residenza; non trova invece applicazione nei casi in cui il trattamento dei dati venga effettuato nell’ambito di attività di carattere esclusivamente personale o domestico.
Ed ancora. Le nuove norme non sono rivolte alle sole aziende che si trovano in Europa. Secondo l’art. 3 infatti il GDPR si applica ad ogni trattamento che ha ad oggetto dati personali e a tutti i titolari e responsabili del trattamento stabiliti nel territorio dell’Unione, ma anche in generale ai titolari o responsabili non stabiliti nell’Unione, i quali offrono beni e servizi a persone residenti nell’Unione o svolgono azione di monitoraggio del comportamento di queste ultime nella misura in cui tale comportamento ha luogo all’interno dell’Unione stessa. Si applica altresì al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
L’entrata in vigore del GDPR consentirà di attuare la medesima normativa contemporaneamente in ventisette stati membri dell’Unione uniformandoli sotto un’unica disciplina. Invero, trattandosi di un regolamento UE non necessita di recepimento da parte dei singoli Stati, essendo direttamente applicabile ed immediatamente esecutivo, ciò a garanzia di una maggiore armonizzazione della regolamentazione in materia.
A partire da oggi, dunque, le norme europee andranno a sovrapporsi a quelle contenute nel codice della privacy (D. Lgs. 196/2003) sino a quando non sarà adottato un decreto legislativo di adeguamento della normativa italiana per quanto riservato alla competenza del legislatore nazionale.