Regolamento Europeo n. 2016/679: di cosa si tratta?
“Regolamento (UE) n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati”: questo è il nome per esteso del nuovo testo normativo europeo sulla protezione dei dati personali approvato dal Parlamento il 14 aprile 2016 e pubblicato in Gazzetta Ufficiale UE il successivo 4 maggio.
Il Regolamento – che, in quanto tale, è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri – è entrato in vigore in tutto il territorio dell’Unione già dal 24 maggio 2016 (cioè venti giorni dopo la sua pubblicazione in G.U. UE) ma sarà ufficialmente applicabile solo a partire dal 25 maggio 2018.
Esso è nato con l’obiettivo di “assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione” (v. considerando n. 10 Reg. UE 2016/679), sul presupposto che “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale”, solennemente riconosciuto anche all’art. 8, paragrafo 1 della Carta dei diritti fondamentali dell’Unione Europea e all’art. 16, paragrafo 1 del TFUE (cfr. considerando n. 1 del Reg. UE 2016/679).
È notorio che la rapidità della evoluzione tecnologica e la globalizzazione hanno portato ad un significativo aumento della portata della condivisione e della raccolta di dati personali: sempre più spesso le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni sensibili che le riguardano, logico corollario questo dell’avvento di tecnologie di massa che hanno trasformato radicalmente l’economia e le relazioni sociali (cfr considerando n. 6 reg. UE n. 2016/679).
Tale scenario richiede evidentemente la predisposizione di un quadro più solido e coerente in materia di protezione dei dati, affiancato da efficaci misure di attuazione, al fine di creare un clima di fiducia tale da consentire lo sviluppo dell’economia digitale in tutto il mercato interno (cfr. considerando n. 7 Reg. UE n. 2016/679). Queste, quindi, le premesse da cui ha avuto origine il nuovo regolamento, nel primario intento di assicurare, da un lato, un’adeguata protezione ai dati personali delle persone fisiche e garantire dall’altro, massima certezza del diritto e trasparenza agli operatori economici.
Quale è, ad oggi, la normativa italiana di riferimento in materia di Privacy?
Attualmente in Italia è in vigore il D.lgs. 196/2003, c.d. “Codice delle Privacy”, che ha rappresentato la prima disciplina unitaria nel nostro Paese sul trattamento dei dati personali; anch’esso aveva avuto a suo tempo un impulso di origine europea, essendo stato emanato in attuazione della c.d. “Direttiva Madre” n. 95/46/CE.
Questa direttiva – destinata all’abrogazione per mano del nuovo Regolamento, v. art. 94 Reg. UE n. 2016/679 – ambiva ad armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e ad assicurare la libera circolazione dei dati personali tra gli Stati membri.
Il mutato contesto socio economico ha reso necessario un adeguamento degli standard di protezione ai nuovi scenari globali, nel segno di un rafforzamento qualitativo e quantitativo della tutela in misura omogenea in tutto il territorio dell’Unione.
Che ne sarà del nostro codice della Privacy dopo l’entrata in vigore del Reg. UE n. 2016/679?
Attualmente sono in vigore nel nostro Paese sia il Codice della Privacy (D.lgs.196/2003) sia il Regolamento n. 2016/679, in quanto fonte sovranazionale di origine europea.
Nonostante infatti sia entrato in vigore il 24 maggio 2016, il Regolamento UE n. 2016/679 diverrà ufficialmente applicabile in tutto il territorio dell’Unione solo il 25.05.2018 secondo quanto disposto all’Art. 99 del medesimo, dopo cioè un periodo di transizione di due anni in cui gli Stati membri sono tenuti ad adeguare la normativa nazionale al regolamento.
Anche l’Italia è quindi chiamata ad adeguarsi al nuovo Regolamento: a tal proposito, con legge delega n. 163/2017 approvata il 25 ottobre 2017 ed in vigore dal 21.11.2017, il Governo è stato investito del compito di adeguare, entro 6 mesi (dunque entro il 21.5.2018), la normativa nazionale alle disposizioni del regolamento UE.
Nel fare ciò l’Esecutivo dovrà attenersi ai seguenti principi e criteri direttivi specifici:
a) abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;
b) modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679;
c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679;
d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal regolamento (UE) 2016/679;
e) adeguare, nell’ambito delle modifiche al codice di cui al decreto legislativo 30 giugno 2003, n. 196, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravita’ della violazione delle disposizioni stesse.
Staremo a vedere.
