Il nuovo Regolamento Europeo o GDPR (GENERAL DATA PROTECTION REGULATION) in materia di protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, entrerà in vigore il 25 maggio 2018.
Il Regolamento propone innanzitutto la tutela delle persone riguardo al trattamento dei dati personali ed alla loro circolazione, uniformando le differenti leggi nazionali.
A partire dal prossimo 25 maggio 2018, infatti, le nuove regole sulla privacy andranno a sostituire molte norme attualmente in vigore e contenute nel codice della privacy e soprattutto porteranno ad un ripensamento radicale, sia nella piccola e media impresa sia nelle multinazionali e nel settore pubblico, della cosiddetta “data governance”, ossia la protezione delle informazioni e dei dati.
Il GDPR infatti comporta per tutti i soggetti pubblici e privati (anche con sede legale fuori dall’Unione Europea) un dovere ad adempiere agli obblighi previsti dallo stesso regolamento europeo: questi ultimi a loro volta porteranno alla necessità di bisogni informativi tali che tutti i soggetti coinvolti nel trattamento dei dati personali e coloro che interverranno nell’attività di consulenza avranno necessità di avere tutti gli strumenti per affrontare i numerosi adempimenti e restare sempre aggiornati.
I principali obiettivi del legislatore fissati con la presente novità legislativa si fondano su adempimenti più complessi, sanzioni più pesanti e maggiori tutele nel trattamento dei dati personali.
Facendo un passo indietro la precedente normativa (ancora in vigore, almeno fino al 25 maggio) faceva riferimento alla direttiva europea 95/46/CE.
La suddetta direttiva, del 1995, era stata adottata in un periodo storico in cui non vi era ancora l’attuale diffusione di Internet dunque prima della nascita dei social network, prima dell’era della raccolta di dati su larga scala e della digital economy; prima, quindi, che si sviluppasse questa concezione “invasiva” della tecnologia, diventata caratteristica peculiare dell’era digitale.
In secondo luogo, la natura stessa della direttiva, la quale differisce dal regolamento proprio per l’applicabilità solo mediante espresso recepimento, la rendeva vincolante solo per quegli Stati dell’Unione europea che avevano previsto per l’appunto un atto di recepimento, presupponendo quindi l’adozione, da parte di ciascuna nazione interessata, di leggi interne che consentano di conformarsi alle misure e agli obiettivi previsti dalla direttiva stessa.
Di fatto lo strumento normativo utilizzato in passato per disciplinare la materia della privacy ha comportato la creazione all’interno dell’Unione di tante diverse interpretazioni quanti erano gli Stati che hanno recepito la direttiva; si era dunque creato un panorama normativo confusionario e complesso per le realtà coinvolte, dal momento che ogni impresa doveva e deve tutt’ora (o almeno fino al 25 maggio) soffermarsi a valutare cosa può o non può fare in ciascuno degli Stati membri.
È per questo che l’intento principale del legislatore europeo, in fase di approvazione del GDPR è stato quello di prevedere delle regole che fossero unitarie e soprattutto idonee a incentivare l’integrazione delle singole valutazioni operate dagli stati nell’interpretazione della vecchia direttiva.
Le caratteristiche del regolamento odierno infatti, a differenza di quelle della direttiva, ne consentono l’applicazione diretta in tutti gli Stati membri dell’Unione (senza rendere necessaria alcuna legislazione di attuazione) permettendo così la creazione di un unico regime di protezione dei dati, comune a tutto il territorio dell’UE.
Dott.ssa Flavia Lucchetti
