Dopo un iter legislativo di quattro anni, è stato pubblicato nella Gazzetta Ufficiale Europea del 4 maggio 2016 il Regolamento (UE) 2016/679 sulla protezione dei dati, approvato il 14 aprile dal Parlamento Europeo e dal Consiglio.
Il nuovo provvedimento è entrato ufficialmente in vigore il 24 maggio 2016 e gli Stati membri avranno due anni di tempo, per adeguare la propria legislazione e le proprie procedure alle regole europee. Infatti, lo stesso troverà applicazione negli Stati solo alla data del 25 maggio 2018.
Con il Regolamento 2016/679, che costituisce insieme alla Direttiva (UE) n. 2016/680 del 27 aprile 2016, il c.d. “pacchetto protezione dati personali”, inizia una nuova fase per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e con le imprese.
La nuova normativa europea si pone come primario obiettivo l’armonizzazione delle regole sulla privacy dei vari Stati e lo sviluppo di un mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.
Il motivo del cambiamento è l’adeguamento della normativa ad uno scenario nel quale internet ha un peso ed un’importanza fondamentale e dove sono gli stessi cittadini che pubblicano, più o meno inconsapevolmente, i propri dati personali sulle piattaforme on line e sui social media.
Infatti, il predetto regolamento va ad abrogare la direttiva la Direttiva 95/46/Ce in materia di protezione dei dati personali, concepita in un periodo storico nel quale solo l’ 1%della popolazione europea utilizzava internet.
In quest’ottica di adeguamento, ci saranno delle novità assolute che verranno introdotte e che incideranno principalmente sui diritti dei cittadini, in primis, su diritti come la portabilità dei dati, il diritto all’oblio, il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati o sulle violazioni dei propri dati personali.
Il testo in esame riconosce, pertanto, un livello elevato e uniforme di tutela dei dati ed è finalizzato a dare un maggiore controllo ai cittadini sul loro utilizzo.
Viene rafforzata la modalità cui l’interessato presta il consenso al trattamento dei dati personali che dovrà essere, oltre che preventivo ed inequivocabile, anche “esplicito”.
E’ esclusa, infatti, ogni forma di consenso tacito (il silenzio, cioè, non equivale al consenso) oppure ottenuto proponendo una serie di opzioni già selezionate. Inoltre, il consenso potrà essere revocato in ogni momento.
Poi, il Regolamento impone alle pubbliche amministrazioni una forte responsabilizzazione, obbligando la P.A. a compiere una valutazione ex ante già durante la fase di progettazione di nuove procedure, prodotti o servizi, senza derive burocratiche che hanno in passato relegato la protezione dei dati personali ad un mero adempimento formale (tramite una firma per presa visione dell’informativa o per il consenso al trattamento di dati sanitari).
Tale valutazione dovrà concentrarsi soprattutto sull’eventuale presenza, di rischi per i diritti e le libertà delle persone fisiche di cui si trattano i dati, attraverso una puntuale e documentata analisi.
Ulteriore novità di questo Regolamento Ue è l’introduzione della figura del “data protection officer” – DPO (responsabile della protezione dei dati personali) che le pubbliche amministrazioni avranno l’obbligo di nominare al proprio interno e di interpellare in tutte le questioni riguardanti la protezione dei dati personali.
Nuovo è, altresì, l’obbligo introdotto per ogni azienda titolare del trattamento dei dati, di tenere un “registro delle attività di trattamento”, svolte sotto la propria responsabilità, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati”.
Il testo prevede, infine, un rafforzamento dei poteri delle Autorità Garanti nazionali e un inasprimento delle sanzioni amministrative a carico di imprese e di pubbliche amministrazioni nel caso di violazioni dei principi e delle disposizioni del Regolamento.
Per questi motivi, nei due anni di transizione verso l’applicazione del nuovo Regolamento sulla privacy, il Garante per la protezione dei dati personali svolgerà un ruolo chiave nell’opera di armonizzazione delle normativa nazionale in materia di protezione dei dati personali (D.LGS n. 196/2003) oggi vigenti , e dei propri precedenti provvedimenti generali, rispetto ai nuovi principi previsti dal nuovo testo.
