25 maggio 2018: da oggi si applica in Italia il regolamento UE sulla protezione dei dati

Oggi, 25 maggio 2018 entra finalmente in vigore il fatidico Regolamento europeo 2016/679/UE, direttamente applicabile in tutti gli Stati membri e relativo alla protezione delle persone fisiche e giuridiche con riguardo al trattamento e alla libera circolazione dei dati personali. Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Si tratta poi di una risposta, necessaria e urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue. E’ bene essere consapevoli che, per mezzo di tutti i devices quotidianamente utilizzati, l’uomo è un produttore costante di dati. Proprio l’esigenza di aumentare la consapevolezza di tale prerogativa è uno dei fattori fondanti tale disciplina.

Oltre a ciò, un altro elemento da sottolineare è il fatto che tale Regolamento da un lato si innesta sull’impianto delle normative precedenti, dall’altro lato recepisce le novità introdotte dall’avanzare inesorabile delle nuove tecnologie.

Il Regolamento infatti si configura come un ponte tra il quadro regolatorio vigente e le sfide poste dalle nuove tecnologie.

Così, si innestano novità molto rilevanti dal punto di vista del modus operandi. Con il nuovo Regolamento il momento della tutela è antecedente al trattamento dei dati, avviene dunque ex ante. Questa valutazione avviene tramite strumenti quali la valutazione di impatto sulla protezione dei dati personali (data protection impact assesment); la protezione fin dalla progettazione (privacy by design); la protezione per impostazione predefinita (privacy by default).

E’ utile inoltre sottolineare la previsione di un Data Protection Officer, una figura di carattere indipendente legato contrattualmente al titolare e al responsabile del trattamento. A norma del Regolamento il DPO ha tre funzioni principiali: anzitutto di consulenza, guidando il titolare o il responsabile nella corretta applicazione del Regolamento; di vigilanza, controllando all’interno della struttura la corretta applicazione del Regolamento; infine, di garanzia e trasparenza, essendo il ponte tra la struttura di riferimento, il Garante per la protezione dei dati personali e il soggetto interessato.

Cosa cambia?

La novità più rilevante determinata dal nuovo Regolamento è l’estensione del principio di territorialità e dunque l’innovazione del “principio di stabilimento”.

Prima del GDPR infatti, la Direttiva 95/46 prevedeva che la sua applicazione potesse attivarsi quando il trattamento di dati personali fosse effettuato nel contesto delle attività di uno stabilimento del titolare situato nell’UE. Allo stesso modo, il vecchio Codice della Privacy prevedeva che le sue norme s’applicassero: al trattamento di dati personali effettuato da chiunque è stabilito nel territorio dello Stato Italiano; a chiunque è stabilito nel territorio di un Paese extraeuropeo, ma che impiega, per il trattamento, strumenti situati nel territorio dello Stato italiano.

Dopo il GDPR invece si estende l’ambito di applicazione anche a Titolari e Responsabili del trattamento non residenti nell’UE, sancendo dunque l’applicabilità di tale disciplina indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione, purché i titolari e i Responsabili: trattino dati personali di persone fisiche che si trovano nell’UE quando il trattamento è in relazione a offerte di beni e servizi; effettuino attività di monitoraggio sul comportamento di persone fisiche che si trovano nell’UE nella misura in cui tale comportamento avvenga nell’UE.

Dunque, tutte le attività di impresa che operino su internet offrendo beni o servizi a consumatori dell’Unione saranno coinvolti dalla nuova normativa.

Ugualmente saranno coinvolti tutti coloro che, pur stabiliti in territorio extra-UE trattino dati personali di cittadini dell’UE o svolgano attività di monitoraggio.

La pervasività del Regolamento è ancor più evidente se si pone l’attenzione su uno dei principi che informano l’intero corpus normativo: il principio dell’accountability, secondo il quale il titolare del trattamento non si deve limitare ad un rispetto meramente formalistico degli obblighi previsti, ma deve fare in modo che le misure intraprese siano conformi da un punto vista sostanziale.

Il risultato di tutto ciò è l’allargamento dei soggetti coinvolti dalla normativa, con il risultato di un aumento dei diritti e dei doveri in capo a tutti i destinatari del Regolamento.

SCOPRI IL MASTER DI II LIVELLO
“TUTELA DELLA PRIVACY E DATA PROTECTION OFFICER”