Nel nostro Paese la tutela della riservatezza dei dati finora è stata affidata al Testo unico in materia di privacy approvato con il d.lgs. n.169 del 2003 che raccoglie la maggior parte delle disposizioni inerenti alla privacy e al trattamento dei dati, recependo le Direttive 95/46/CE e 58/2002/CE.
Tale disciplina si avvia ad essere sostituita dal Regolamento Europeo 679/2016 sulla General Data Protection Regulation (GDPR) approvato nell’aprile del 2016 che trova applicazione a decorrere dal 25 maggio 2018 ed è obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri. Si tratta, quindi, di una disciplina pan europea. Tuttavia, la sola esistenza ed applicazione del GDPR non comporta, l’abrogazione automatica del citato Testo unico e delle altre 27 diverse legislazioni nazionali finora vigenti.
Infatti, il regolamento proviene da un ordinamento diverso da quelli nazionali e riconosce a ciascuno Stato membro diritti di modifica limitati su alcuni obblighi relativi ai dati che ineriscono il rapporto di lavoro e la sicurezza nazionale.
Pertanto, durante la riunione del 21 marzo 2018, il Consiglio dei Ministri ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017, introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. A partire dal 25 maggio 2018, per effetto dell’abrogazione della direttiva 95/46/CE, è necessario armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
Il nuovo regolamento persegue i seguenti obiettivi:
– migliorare la fiducia dei consumatori nelle organizzazioni che conservano e trattano i loro dati personali, consolidando i loro diritti al rispetto della vita privata e della protezione dei dati personali in modo coerente in tutta l’UE,
– semplificare il libero flusso dei dati personali nell’Unione creando un quadro di protezione dei dati solido e coerente fra tutti gli Stati membri.
-adattare la disciplina della privacy al mondo digitale.
Nel regolamento in esame, quindi, si intensifica il rigore generale della disciplina, si prevedono sanzioni più gravi, si programmano adempimenti più articolati e si alza il livello di protezione del soggetto cui i dati si riferiscono allo scopo di assicurare alla protezione dei dati il rango di diritto fondamentale della persona. A tal fine viene introdotta una serie di nuovi obblighi finalizzati a consolidare le norme di base della tutela dei dati personali già dettata dalla direttiva 95/46/CE.
Il Regolamento tutela esclusivamente i dati inerenti alle persone fisiche, e riguarda sia il trattamento manuale sia il trattamento automatizzato. Non si applica al trattamento effettuato da persone fisiche nell’ambito di attività a carattere esclusivamente personale o domestico, in assenza di una connessione con un’attività commerciale o professionale.
Rientrano, invece, nell’ambito di applicazione del Regolamento i soggetti che forniscono i mezzi utilizzati per trattare dati personali nell’ambito delle attività a carattere personale o domestico.
Il regolamento si fonda sul principio di stabilimento e, quindi, detta norme vincolanti per :
– le organizzazioni che trattano i dati personali delle persone fisiche nell’UE.
– le organizzazioni aventi sede fuori dall’UE che monitorano o forniscono merci e servizi alle persone fisiche nell’UE. Tali organizzazioni (sia titolari del trattamento sia responsabili del trattamento) devono nominare un rappresentante della protezione dei dati avente sede in uno degli Stati membri dell’UE in cui si trovano i soggetti rilevanti. Tale requisito non si applica in caso di trattamento occasionale e che non include il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Ai sensi dell’art. 4, primo comma, del Regolamento il “dato personale” oggetto di tutela è da intendersi come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Per “identificabile”, si intende la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
In base la Regolamento, i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Il trattamento, inoltre, deve essere effettuato per finalità determinate, esplicite e legittime. Per evitare una raccolta indiscriminata dei dati viene, peraltro, cristallizzato il principio di minimizzazione dei dati, per cui i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. I dati devono essere esatti, sempre aggiornati, conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati e con modi che garantiscano in ogni momento sicurezza, integrità e riservatezza.
Suggerimenti bibliografici:
1. Regolamento Ue 2016/679 (testo italiano)
2. Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali del Garante Italiano