Il Regolamento generale per la protezione dei dati personali n. 2016/679 o G.D.P.R. è la normativa di riforma della legislazione europea in materia di protezione dei dati.
Il suddetto regolamento è stato pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è stata posticipata al 25 maggio 2018.
Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell'Unione e verrà attuato allo stesso modo in tutti gli Stati dell'Unione senza margini di libertà nell'adattamento.
Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea. In tal senso, quindi, non vi sarà una normativa italiana in materia, quanto piuttosto dei chiarimenti in relazione ad alcuni aspetti, ad esempio sui poteri
Il GDPR nasce dall’esigenza di una maggiore certezza giuridica, di armonizzazione e di maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.
Il nuovo regolamento è più esplicito della direttiva 95/46, proclamando la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.
L’Art. 1 par. 2, infatti, stabilisce che : “Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.
La sua applicazione si è resa necessaria visto gli importanti viluppi tecnologici e visti i nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue.
Il forte impatto della tecnologia ha comportato un cambiamento significativo per quanto attiene al trattamento dei dati: è cambiato non solo il modo di percepire il tema della protezione dei dati, ma anche il modo in cui essi vengono prodotti, raccolti e fatti circolare. Questo mutamento ha ormai reso obsoleta la precedente direttiva europea (dir 95/46/CEE), rendendo necessaria l’introduzione del nuovo Regolamento UE 679/2016, che muta radicalmente l’approccio alla gestione dei dati personali.
Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa
In estrema sintesi col GDPR:
- Si introducono regole più chiare su informativa e consenso;
- Vengono definiti i limiti al trattamento automatizzato dei dati personali;
- Vengono poste le basi per l’esercizio di nuovi diritti;
- Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
- Vengono fissate norme rigorose in caso di violazione dei dati.
- Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole.
- Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.
- È stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme.
- Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale.
- Per i cittadini un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi;
- È previsto un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online;
- E’ stato istituzionalizzazione del diritto all'oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione dei dati quando viene meno l'interesse pubblico alla notizia;
- È stato previsto l'obbligo di notifica da parte delle aziende delle gravi violazione dei dati dei cittadini;
- Le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico);
- Sono state previste sanzioni/ multe fino a 20.000.000 di euro o pari al 4% del fatturato globale delle aziende in caso di violazioni delle norme.
Le novità sono dunque molte e le sanzioni in caso di violazione sono molto importanti, ma nonostante manchi ormai veramente poco alla sua applicazione in Italia molte aziende e P.A. non sono ancora pronte ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste.
Vi consiglio dunque a rivolgerVi quanto prima a consulenti informatici e a legali esperti del settore per metterVi in regola con la nuova normativa.
Il nostro studio offre questo tipo di consulenza.
Pavia, lì 18 marzo 2018
Avv. Valter Vernetti