Il Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation o GDPR) è la normativa di riforma della legislazione europea in materia di protezione dei dati. Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in  vigore il 24 maggio 2016, ma la sua attuazione avverrà, però, a distanza di due anni, quindi dal 25 maggio 2018

Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell'Unione e verrà attuato allo stesso modo in tutti gli Stati dell'Unione senza margini di libertà nell'adattamento. Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea. In tal senso, quindi, non vi sarà una normativa italiana in materia, quanto piuttosto dei chiarimenti in relazione ad alcuni aspetti, ad esempio i poteri dell'Autorità Garante nazionale

Il nuovo regolamento è più esplicito della direttiva 95/46, proclamando la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.  

Art. 1 par. 2
Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

Le nuove norme prevedono: 
- che i cittadini dovranno avere un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi;
- un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online;
- l'istituzionalizzazione del diritto all'oblio (denominato però diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione di dati quando viene meno l'interesse pubblico alla notizia;
- l'obbligo di notifica da parte delle aziende delle gravi violazione dei dati dei cittadini; 
- le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico);
- l'adozione del principio "privacy by design" in base al quale i prodotti e i servizi dovranno essere progettati in modo da tutelare la privacy degli utenti; 
- multe fino al 4% del fatturato globale delle aziende in caso di violazioni. 

Il Regolamento generale si applica ad ogni trattamento che ha ad oggetto dati personali, e a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio dell'Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell'Unione, trattano dati di residenti nell'Unione europea (art. 3 del Regolamento). Non si applica nei seguenti casi: 
- trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; 
- trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza); 
- trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse; 
- trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. 

Con il GDPR i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell'interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i diritti. Ad esempio, è stato rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso. Inoltre, la base giuridica è tra gli elementi essenziali dell'informativa e deve essere evidenziata in riscontro ad una istanza di accesso. 

 

 

Prepararsi al GDPR

Il GDPR è un complesso meccanismo composto da un elevato numero di ingranaggi, per cui sarà estremamente complicato per le aziende prepararsi al GDPR. Provando a sintetizzare occorre che le aziende compiano una revisione completa dei dati che raccolgono e trattano, verificando le basi giuridiche per tali trattamenti e quale è l'impatto di tali trattamenti per gli interessati. Una volta fatto ciò occorre comunicare tutto ciò all'esterno, precisando anche quali diritti hanno gli individui in relazione a tali trattamenti. Quindi potremo riassumere in responsabilità e trasparenza i principi generali del GDPR. 

 

La Guida del Garante italiano

L'Autorità di controllo italiana (Garante Privacy) ha pubblicato una Guida (link alla pagina web della Guida) che offre un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento. Sono presenti raccomandazione specifiche e suggerite azioni, oltre a segnalare le principali novità, in vista della prepazione all'attuazione del nuovo regolamento. 

 

Timeline del GDPR

7 dicembre 2011 - Rivelata la prima bozza della proposta di riforma
25 gennaio 2012 - Pubblicata la prima bozza della proposta della Commissione di riforma della normativa sulla protezione dati
7 marzo 2012 -  Opinione dell'European Data Protection Supervisor 
20 marzo 2012 - Opinione del Gruppo Articolo 29
11 gennaio 2013 - Philipp Albrecht, relatore per il Parlamento europeo, pubblica il suo rapporto sulla riforma
12 marzo 2014 - Il Parlamento europeo approva in prima lettura la propria versione del regolamento (cioè il testo approvato dalla Commissione LIBE nell'ottobre del 2013) 
15 giugno 2015 - Il Consiglio dell'Unione europea approva in prima lettura la sua versione del regolamento. Si passa al "trilogo" (dialogo a 3) 

TRILOGO 

24 giugno 2015 - Meeting: definizione tabella di marcia del trilogo
14 luglio 2015 - Meeting: campo di applicazione territoriale (articolo 3), trasferimenti internazionali (Capitolo V)
16-17 settembre 2015 - Meeting: principi di protezione dei dati (capitolo II), diritti della persona interessata (capitolo III), Controller e processore (capitolo IV)
29-30 settembre 2015 - Meeting: principi protezione dei dati (capitolo II), diritti delle persone interessate (capitolo III), controller e processor (capitolo IV)
15 ottobre 2015 - Trilogo: autorità indipendenti di vigilanza (capitolo VI), cooperazione e coerenza (capitolo VII), rimedi, responsabilità e sanzioni (capitolo VIII)
28 ottobre 2015 - Meeting: autorità indipendenti di vigilanza (capitolo VI), cooperazione e coerenza (capitolo VII), rimedi, responsabilità e sanzioni (capitolo VIII)
11-12 novembre 2015 - Meeting: obiettivi e campo di applicazione materiale (capitolo I), regimi specifici (capitolo IX)
24 novembre 2015 - Meeting: questioni aperte dal primo capitolo al nono
10 dicembre 2015 - Meeting: atti delegati e di esecuzione (Capitolo X), disposizioni finali (capitolo XI), questioni in sospeso
15 dicembre 2015 - Accordo a conclusione del trilogo


APPROVAZIONE e ADOZIONE

15 dicembre 2015 - Il Parlamento e il Consiglio raggiungono l'accordo, il testo è definitivo dopo la firma del gennaio 2016
8 aprile 2016 - Il Consiglio dell'Unione europea adotta il GDPR
12 aprile 2016 - La Commissione LIBE del Parlamento europeo approva il GDPR che quindi passa in plenaria 
16 aprile 2016 - Il Parlamento europeo adotta il GDPR
4 Maggio 2016 - Pubblicazione del GDPR nella Gazzetta Ufficiale dell'UE
24 maggio 2016 - Il GDPR entra in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell'Unione europea
13 dicembre 2016 - Il Gruppo Articolo 20 adotta le linee guida per su alcuni aspetti del GDPR 


ATTUAZIONE


23 Maggio 2018 - Il GDPR diventa applicabile dopo un periodo di 2 anni dall'adozione

 

 

Infografica del Consiglio dell'Unione europea (fonte: sito del Consiglio)

Infografica del Consiglio dell'Unione europea