Lo scorso 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, ed è entrato in vigore il 25 maggio scorso, anche se gli Stati membri avranno a disposizione due anni per adeguare le normative nazionali a detto Regolamento. Pertanto il Regolamento entrerà in vigore il 25 maggio 2018, abrogando la direttiva 95/46/CE.

A tal proposito ricordiamo che attualmente risulta essere ancora in vigore la direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che rappresenta la base normativa di riferimento in materia di protezione dei dati personali e fonda il diritto suddetto.

Il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, cambia il quadro di riferimento spostandosi verso un quadro normativo sostanziale. Alla base del Regolamento, per scelta del legislatore europeo, vi è una maggiore certezza del diritto.

I capisaldi sono diritti, doveri e cooperazione, con consolidamento del diritto alla protezione del dato e definizione dei doveri incombenti sul titolare del trattamento, nonché con la valorizzazione del ruolo delle autorità garanti ed il rafforzamento del sistema sanzionatorio. In merito al consolidamento dei diritti, vi è un rafforzamento del diritto alla protezione del dato ed una disciplina del consenso più stringente, con una precisa definizione dell’istituto del consenso.

Si aggiunge inoltre il diritto alla portabilità dei dati (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro), il diritto di opposizione ad attività di profilazione, nonché il c.d. diritto all’oblio per cui ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime), ad esempio in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web

Ulteriore novità è rappresentata dalla positivizzazione del principio di accountability, in base al quale chi tratta i dati personali deve avere comportamenti virtuosi, dimostrando l’adozione, senza convenzionalismi, di tutte le misure privacy adottate nel rispetto del Regolamento europeo. Bisognerà redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento in cui vengano riportare tutte le attività di trattamento dati svolte sotto la responsabilità del titolare al trattamento o del responsabile. Viene richiesto di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato.

Il regolamento europeo introduce alcune semplificazioni degli oneri e adempimenti a carico delle pubbliche amministrazioni: viene abrogato l’adempimento della notificazione preliminare al Garante privacy,  dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di trattamenti dati particolarmente delicati (es. dati  genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi  sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria etc..).

Una nuova importante figura, il “data protection officer” (responsabile della protezione dei dati personali), viene introdotta dal Regolamento, che pubbliche amministrazioni ed enti pubblici sono obbligati a nominare, e dovrà sempre essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. Il data protection officer (DPO) deve essere in possesso di specifici requisiti: competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse e dovrà presidiare i profili privacy organizzativi attraverso un’opera di sorveglianza sulla corretta applicazione del Regolamento europeo, della normativa privacy e sulla normativa interna, nonchè sull’attribuzione delle responsabilità, informazione, sensibilizzazione e formazione del personale. Il DPO potrà essere sia interno che esterno all’ente, sarà tenuto a presidiare i profili privacy, cooperare con l’Autorità Garante e riferire direttamente al vertice gerarchico del titolare del trattamento, senza interferenze ed in completa autonomia.

In tema di sanzioni, il testo prevede un rafforzamento dei poteri delle Autorità Garanti nazionali e un inasprimento delle sanzioni amministrative a carico di imprese e pubbliche amministrazioni: nel caso di violazioni delle norme del Regolamento, le sanzioni, in casi particolari possono arrivare fino a 10 milioni di euro o per le imprese fino al 2%-4% del fatturato totale annuo.

Dalle indicazioni sopra sommariamente evidenziate, emerge che il Regolamento reca una prospettiva diversa rispetto alla Direttiva citata, ad esempio nel cambio della responsabilità dei dati ove il titolare assume un rischio sul trattamento, dovendosi valutare i rischi del trattamento medesimo per ciascuna persona.

Nel periodo attuale il Regolamento è ad efficacia differita ma per molte parti è subito vincolante: ad esempio per la Commissione europea ai fini della modifica della Direttiva in materia di comunicazioni elettroniche. Inoltre il titolare deve rendere conformi i trattamenti già in corso (da un lato si continua ad applicare la Direttiva mentre dall’altro si deve adeguare al Regolamento che è ad entrata in vigore differita parziale per questo motivo).

Il Regolamento è sia omogeneo sia flessibile, perché consente in diversi casi di rimandare alle legislazioni nazionali (in tema di libertà di espressione, di trattamento ed accesso ai documenti ufficiali, di trattamento del numero identificativo nazionale, di trattamenti relativi ai rapporti di lavoro).

Il Regolamento costituisce quindi un punto di partenza finalizzato al raggiungimento di un comune livello, uniforme ed elevato, di protezione dei dati personali al fine di rafforzare la fiducia, la sicurezza ed il controllo dei cittadini sull’utilizzo dei loro dati.