È oramai noto che il Parlamento Europeo ha recentemente pubblicato il REGOLAMENTO (UE) 2016/679 (DEL PARLAMENTO EUROPEO E DEL CONSIGLIO) del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, definito “Regolamento generale sulla protezione dei dati”.

Come già da noi rilevato in precedenti pubblicazioni, il Regolamento dovrà essere oggetto di piena  applicazione entro la data ultima del 25 maggio 2018. Ciò comporterà un duplice necessario adeguamento:

• da parte pubblica-statuale, la modifica delle normative ad oggi vigenti in materia di tutela della privacy;
• da parte privata, e con ciò mi riferisco a tutte le persone giuridiche, aziende, banche, intermediario, Confidi, ed in generale operatori economici, un aggiornamento nonché adeguamento delle loro procedure interne nonché di moduli, formulari e contratti.

Il fine principale del Regolamento, il quale ne delimita anche il campo di applicazione, consiste nella protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, considerato come un diritto fondamentale. Per cui, il regolamento non disciplina in alcun modo il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.

Ma è altresì necessario precisare, al fine di una più compiuta delimitazione del suo ambito applicativo, che il regolamento comunque non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.

Tale principale fine deve essere altresì collegato alle nuove forme di contrattazione che si stanno man mano sviluppando anche e specialmente nel settore dell’intermediazione bancaria a e finanziaria, in relazione all’incremento delle nuove tecnologie che, sempre più permettono lo scambio a distanza di informazioni nonché la stessa conclusione dei contratti.

È proprio il Regolamento che evidenzia come sempre più spesso, le persone fisiche rendono disponibili al pubblico informazioni personali che li riguardano, a fronte di una più libera circolazione dei dati personali anche all’interno dell’Unione ed il loro trasferimento verso paesi terzi e organizzazioni internazionali: ciò deve necessariamente comportare una maggior tutela nella realizzazione di questo scambio, ponendo così al centro dell’attenzione la “persona fisica”.

E tale fine, non poteva non richiedere, a livello europeo, la realizzazione di una normativa comune che possa assicurare una reale omogeneità nel garantire tale tutela. E’ proprio in tale senso che il Regolamento prevede che la protezione prevista si applichi, come già evidenziato, alle persone fisiche, ma a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali.

Il provvedimento, molto articolato in particolare nelle premesse, contiene taluni aspetti e specificazioni che riteniamo opportuno richiamare in sintesi.

Circa l’ambito di applicazione materiale, esso si applica sia al trattamento interamente o parzialmente automatizzato di dati personali sia al trattamento non automatizzato – diremo cioè “fisico” – di dati personali contenuti in un archivio o destinati a figurarvi.

Circa l’ambito di applicazione territoriale, il  regolamento pone una regola di ampio respiro: esso infatti si applicherà:

• al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione (così applicandosi anche a trattamenti effettuati da un soggetto comunitario ma al di fuori dell’UE).
• al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione (quindi sarà applicabile anche ad imprese extra UE), quando tuttavia le attività di trattamento riguardino:

1. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
2. oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Molto interessanti sono altresì le definizioni, ove viene inserito espressamente il concetto di “profilatura” del cliente (a fini ovviamente commerciali).

Ed infatti, a fini definitori, il regolamento stabilisce che:

1. «trattamento» è: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
2. «profilazione» è: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
3. consenso dell’interessato» è: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.