A partire dal 25 Maggio 2018, tutte le normative interne di ciascuno Stato membro dell’Unione Europea, compresa ovviamente l’Italia, dovranno essere adeguate. Perciò, i soggetti chiamati a maneggiare i dati personali saranno destinatari di nuove regole e sanzioni in casi di mancato adeguamento. Ma vediamo dettagliatamente di cosa si tratta.

Con l’acronimo inglese GDPR si fa riferimento al Regolamento Europeo in materia di protezione dei dati personali che, pur essendo in vigore dal 24 maggio 2016, troverà concreta applicazione in data dal 25 maggio 2018, con la conseguente abrogazione del Codice della Privacy (D.lgs. 196/2003) finora vigente.

Il principio ispiratore di questo nuovo regolamento è quello di armonizzare la normativa sulla privacy in tutti i paesi dell’Unione, semplificare il contesto normativo dove si concentrano gli affari internazionali e garantire un maggior controllo dei dati di tutti i cittadini europei, soprattutto per quanto concerne social network e provider di servizi cloud.

Ma cosa cambia realmente rispetto al Codice della Privacy vigente finora? Oltre a richiamare i principi già in vigore, il nuovo Regolamento porta diverse novità:

• vengono introdotti i cosiddetti principi della “privacy by design” e “privacy by default”, che impongono di prendere in considerazione i profili privacy dal momento della loro progettazione e pianificazione e, consequenzialmente, di adottare tutte le misure tecniche ed organizzative idonee a garantire che venga posto in essere un trattamento, per impostazione predefinita, dei soli dati necessari alla finalità del trattamento (data minimization).
• Il nuovo Regolamento conserva gli adempimenti già prescritti, ad esempio l’obbligo di fornire agli interessati l’informativa o di acquisire il consenso (che dovrà essere esplicito) in assenza di altra condizione di liceità e ne istituisce di altri, inerenti le ulteriori indicazioni sul trattamento che debbono essere fornite all’interessato con l’informativa e il legittimo interesse.
• introduce nuove prescrizioni in tema di tenuta dei registri del trattamento e di obbligatorietà, in taluni casi, della figura nota come “Data Protection Officer”, da intendersi quale figura professionale avente competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi.
• individua nuovi diritti per l’interessato, come il “diritto all’oblio” ed il “diritto alla portabilità dei dati”, trattati con mezzi automatizzati;
• amplia notevolmente gli obblighi prescritti, introducendo quello di comunicare all’Autorità le eventuali violazioni dei dati personali (data breach);
• introduce maggiori responsabilità ed un trattamento sanzionatorio molto più rigido, a dispetto di quello previgente.

Il nuovo Regolamento verte in primis su due parole chiave: “trattamento di dati personali” e “dati personali”.

Per “dato personale” deve intendersi qualsiasi informazione concernente una persona fisica identificata o identificabile, mentre il "trattamento di dati personali" è qualsiasi operazione, o insieme di operazioni, compiute con o senza l’ausilio di mezzi automatizzati, ed applicate a dati personali o insieme di dati, perciò coinvolge tutte quelle attività che comportano una conoscenza di dati personali, sia mediante l’ausilio di processi automatizzati che non.

La riforma nel nuovo Regolamento consiste nel fatto che, a differenza di quello previgente, per far sì che lo stesso trovi applicazione, il trattamento può essere automatizzato in tutto in parte o, diversamente, può non essere automatizzato, riguardando per l’appunto dati contenuti in un archivio.

Per comprendere a fondo l'ambito applicativo del nuovo Regolamento, è importante sottolineare un'altra differenza tra tra trattamento automatizzato e non automatizzato:

• Il trattamento automatizzato consiste nell’utilizzo di dati personali al fine di valutare determinati aspetti personali, propri della persona fisica di cui ci si interessa, ovvero per analizzare o prevedere aspetti concernenti il suo rendimento professionale, situazione economica, salute, preferenze personali, interessi, affidabilità, comportamento, ubicazione o gli spostamenti dalla stessa compiuti

Rientra nel trattamento autorizzato l’attività impiegata di raccolta ed elaborazione di dati inerenti gli utenti del servizio, utile per consentire la fornitura di servizi personalizzati o di inviare pubblicità, premesso che l nuovo regolamento è mirato anche ai proprietari e gestori di siti internet, quali contenitori ad oggi di dati personali. Perciò le novità in tema privacy sono dirette, in particolar modo, a tutti i titolari del trattamento che offrono servizi web, i quali, nell’informativa dovranno rendere noto all’utente le modalità e le finalità dell’acquisto dei dati devono riguardare solo quelli utili alle finalità indicate.

Un’altra grande novità del nuovo testo riguarda l’applicazione dello stesso anche al di fuori dell’ambito europeo. Premesso che le disposizioni contenute nel precedente Codice della Privacy trovavano applicazione nel momento in cui il trattamento dei dati personali era effettuato:

• da chiunque risultava stabilito nello Stato o in un luogo soggetto alla sovranità dello Stato;
• da chiunque si trovava nel territorio di un Paese extra UE e si avvaleva, per il trattamento, di strumenti situati nel territorio anche diversi da quelli elettronici.

l'innovazione sta nel fatto che d'ora in poi anche le imprese situate fuori dall’UE dovranno operare nel pieno rispetto della disciplina europea, pena l’applicazione delle sanzioni prescritte.

La nuova disciplina europea non si applica per i seguenti trattamenti dati:

1. quelli effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
2. quelli effettuati dagli Stati membri nello svolgimento di attività che rientrano nell’ambito della politica estera e sicurezza;
3. quelli effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, comprese la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione;
4. e quelli effettuati dalle persone fisiche per lo svolgimento di attività a carattere strettamente personale e domestico.