Il Regolamento generale per la protezione dei dati personali (General Data Protection Regulation o GDPR) è la normativa di riforma della legislazione europea in materia di protezione dei dati. Pubblicata nella Gazzetta Ufficiale europea il 4 maggio 2016, entra il vigore il 24 maggio 2016. La sua attuazione avverrà, però, a distanza di due anni, quindi dal 23 maggio 2018

Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell'Unione e verrà attuato allo stesso modo in tutti gli Stati dell'Unione senza margini di libertà nell'adattamento. Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea. 

Il nuovo regolamento è più esplicito della direttiva 95/46, proclamando la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.  

Art. 1 par. 2
Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

Le nuove norme prevedono: 
- che i cittadini dovranno avere un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi;
- un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online;
- l'istituzionalizzazione del diritto all'oblio come previsto dalla Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione di dati quando viene meno l'interesse pubblico alla notizia;
- l'obbligo di notifica da parte delle aziende delle gravi violazione dei dati dei cittadini; 
- le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico);
- l'adozione del principio "privacy by design" in base al quale i prodotti e i servizi dovranno essere progettati in modo da tutelare la privacy degli utenti; 
- multe fino al 4% del fatturato globale delle aziende in caso di violazioni. 

Il regolamento si applica a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio dell'Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell'Unione, trattano dati di residenti nell'Unione europea. 

Con il GDPR i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell'interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i diritti. Ad esempio, è stato rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso. Inoltre, la base giuridica è tra gli elementi essenziali dell'informativa e deve essere evidenziata in riscontro ad una istanza di accesso. 

 

Timeline del GDPR

7 dicembre 2011 - Rivelata la prima bozza della proposta di riforma
25 gennaio 2012 - Pubblicata la prima bozza della proposta della Commissione di riforma della normativa sulla protezione dati
12 marzo 2014 - Il Parlamento europeo approva in prima lettura la propria versione del regolamento
15 giugno 2015 - Il Consiglio dell'Unione europea approva in prima lettura la sua versione del regolamento. Si passa al "trilogo" (dialogo a 3)

TRILOGO 

24 giugno 2015 - Meeting: definizione tabella di marcia del trilogo
14 luglio 2015 - Meeting: campo di applicazione territoriale (articolo 3), trasferimenti internazionali (Capitolo V)
16-17 settembre 2015 - Meeting: principi di protezione dei dati (capitolo II), diritti della persona interessata (capitolo III), Controller e processore (capitolo IV)
29-30 settembre 2015 - Meeting: principi protezione dei dati (capitolo II), diritti delle persone interessate (capitolo III), controller e processor (capitolo IV)
15 ottobre 2015 - Trilogo: autorità indipendenti di vigilanza (capitolo VI), cooperazione e coerenza (capitolo VII), rimedi, responsabilità e sanzioni (capitolo VIII)
28 ottobre 2015 - Meeting: autorità indipendenti di vigilanza (capitolo VI), cooperazione e coerenza (capitolo VII), rimedi, responsabilità e sanzioni (capitolo VIII)
11-12 novembre 2015 - Meeting: obiettivi e campo di applicazione materiale (capitolo I), regimi specifici (capitolo IX)
24 novembre 2015 - Meeting: questioni aperte dal primo capitolo al nono
10 dicembre 2015 - Meeting: atti delegati e di esecuzione (Capitolo X), disposizioni finali (capitolo XI), questioni in sospeso
15 dicembre 2015 - Meeting: atti delegati e di esecuzione (Capitolo X), disposizioni finali (capitolo XI), questioni in sospeso


APPROVAZIONE e ADOZIONE

15 dicembre 2015 - Il Parlamento e il Consiglio raggiungono l'accordo, il testo è definitivo dopo la firma del gennaio 2016
8 aprile 2016 - Il GDPR è adottato dal Consiglio dell'Unione europea
16 aprile 2016 - Il GDPR è adottato dal Parlamento europeo
4 Maggio 2016 - Pubblicazione del GDPR nella Gazzetta Ufficiale dell'UE
24 maggio 2016 - Il GDPR entra in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell'Unione europea


ATTUAZIONE


23 Maggio 2018 - Il GDPR diventa applicabile dopo un periodo di 2 anni dall'adozione

 

 

Infografica del Consiglio dell'Unione europea (fonte: sito del Consiglio)

Infografica del Consiglio dell'Unione europea