Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR), è la principale normativa europea in materia di protezione dei dati personali.
Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016 ed entrato in vigore il 24 maggio 2016, si applica direttamente in tutti gli Stati dell'Unione Europea a far data dal 25 maggio 2018, senza margini di libertà nell'adattamento (tranne per le parti per le quali si prevede espressamente delle possibilità di deroga).
Il suo testo, arricchito con riferimenti ai Considerando e aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell'Unione europea 127 del 23 maggio 2018, si compone ad oggi di 99 articoli e 173 “Considerando”, laddove questi ultimi hanno solo un valore interpretativo.
Nell’era digitale, il GDPR costituisce un passo essenziale per rafforzare i diritti fondamentali delle persone fisiche, a fronte della continua evoluzione tecnologica.
Uniformando la normativa vigente in materia di trattamento di dati personali, ha inoltre consentito di arginare la frammentazione delle disposizioni legislative nei vari sistemi nazionali e di eliminare gli oneri amministrativi superflui, rendendo chiare le regole per le imprese che operano nel mercato unico digitale.
Come indicato nel Considerando 9, Il Regolamento (UE) 2016/679 nasce con i seguenti obiettivi:
- armonizzare definitivamente la regolamentazione europea in materia di protezione dei dati personali, garantendo una tutela uniforme del diritto fondamentale alla protezione dei dati di carattere personale in tutto il territorio dell'Unione (pur lasciando margini di manovra ai legislatori nazionali in alcune materie tra cui, in particolare, quelle che investono in via diretta l'esercizio di pubblici; v. disciplina italiana di armonizzazione D.lgs. 101/2018).
- consentire lo sviluppo del Mercato Unico Digitale (Digital Single Market) europeo, alimentando la fiducia dei cittadini nella società digitale e nell'uso dei servizi digitali grazie alla maggiore tutela dei dati;
- rispondere alle nuove sfide derivante dalle nuove tecnologie digitali.
La riforma imposta dal GDPR non si pone come una mera revisione superficiale degli adempimenti previsti per le imprese che trattano dati personali; al contrario, la medesima rivoluziona completamente la prospettiva con la quale approcciare il tema del trattamento e della protezione dei dati personali.
Se gli adempimenti previsti nella vigenza del vecchio “Codice Privacy” (Codice per la protezione dei dati personali, D.lgs. 30 giugno 2003, n. 196) erano di natura esclusivamente formale - in un’ottica di completa deresponsabilizzazione del soggetto Titolare del Trattamento, il Regolamento (UE) 2016/679 impone a quest’ultimo di occuparsi della protezione dei dati personali già nella fase di progettazione del trattamento, secondo una griglia di principi e valori fornita dal Legislatore Europeo.
Di conseguenza non si tratta più, o meglio non solo, di sottoscrivere e conservare una serie di documenti, ma d'individuare accuratamente tutte le componenti del trattamento compresi i rischi che questo comporta per l’interessato, pena la comminazioni di sanzioni amministrative di natura pecuniaria.
In particolare, l’articolo 83 del Regolamento UE prevede sanzioni fino a:
- 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese nei casi in cui, per esempio, i dati personali degli utenti vengano trattati in maniera illecita, non venga nominato il DPO, non venga comunicato un data breach all’Autorità garante;
- 20 milioni di euro o 4% del fatturato per le imprese nei casi più gravi, come ad esempio l’inosservanza dei diritti degli interessati o il trasferimento illecito di dati personali ad altri Paesi.
