GDPR: Il nuovo Regolamento UE sulla protezione dei dati personali 2016/679

Importante: ad oggi manca il provvedimento legislativo di adeguamento della normativa nazionale al Regolamento UE 2016/679. Si auspicano aggiornamenti a breve, e comunque non oltre i sei mesi dall'entrata in vigore del nuovo regolamento, in ragione dell'evoluzione della normativa. Tutti gli aggiornamenti saranno pubblicati in tempo reale su questa sezione.

Il 25 maggio 2016 è entrato in vigore il nuovo Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che va ad abrogare la direttiva 95/46/CE (“Regolamento generale sulla protezione dei dati”) sulla protezione dati personali e andrà a sostituire l’attuale Codice sulla Privacy (Dlgs 196/2003) oggi vigente in Italia.

In Italia questo ruolo sarà ancora gestito dal Garante della Privacy. Il Regolamento diventerà immediatamente applicabile senza bisogno di essere recepito con provvedimenti nazionali; avremo quindi un testo unico valido in tutti i paesi UE che mirerà a rendere omogeneo ed elevato il livello di protezione dei dati personali e a favorire la circolazione degli stessi all’interno dell’Unione Europea. Agli Stati Membri dell’Unione rimarrà comunque la possibilità di introdurre ulteriori regole e condizioni.

Il Regolamento è diventato obbligatorio dal 25 maggio 2018.

Le imprese devono adottare i cambiamenti necessari al fine di adeguarsi al nuovo Regolamento, dotandosi di strumenti attuativi ed operativi per raggiungere l’obiettivo di ridurre l’eventuale impatto delle sanzioni applicabili.

Rispetto al D.Lgs. 196/2003, il nuovo Regolamento obbliga ad una maggiore attenzione e ad una maggiore trasparenza verso gli interessati; questo implica che ogni organizzazione deve avviare le necessarie modifiche ai processi e ai sistemi interni, analizzando attentamente lo stato attuale.

Il Regolamento raccomanda l’elaborazione e l’adozione di Codici di Condotta; i Codici di Condotta hanno caratteristiche simili a quelle dei Codici Deontologici che oggi appartengono al D.Lgs. 196/2003. Inoltre incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dati, allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati; la certificazione deve essere rilasciata da organismi accreditati e in possesso di un adeguato livello di competenze sulla base di un meccanismo di certificazione approvato.

Le attività che ogni singola impresa dovrà svolgere per l’adeguamento legislativo dipenderanno da diversi fattori: saranno legate alla specificità del settore in cui opera l’organizzazione, al tipo di clientela, alla tipologia dei dati trattati, alle modalità di trattamento, alla obbligatorietà di dotarsi della professionalità di un DPO - Data Protection Officer (Responsabile della Protezione Dati Personali) nei casi previsti dal Regolamento.

I cittadini avranno a disposizione modelli di informativa trasparenti, facilmente comprensibili in tutte le varie lingue e avranno il diritto di essere informati se i loro dati, affidati per il trattamento a titolari, sono stati violati in qualche modo. 

 

I TESTI PUBBLICATI SULLA GAZZETTA UFFICIALE UE IL 4 MAGGIO 2016

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio

 

LA STORIA DEL PACCHETTO PROTEZIONE DATI

Nel gennaio 2012 la Commissione europea ha presentato ufficialmente il cosiddetto "pacchetto protezione dati" con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell'Ue.

Esso si compone di due diversi strumenti:

• una proposta di Regolamento concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46

• una proposta di Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all'esecuzione delle sanzioni penali, che sostituirà (ed integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l'Italia non ha, peraltro, ancora attuato).

L'iter per l'approvazione definitiva dei due nuovi strumenti normativi comporta l'intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di "codecisione" (ora definita dal Trattato di Lisbona "procedura legislativa").

Il 18 dicembre 2015 è stato raggiunto un accordo sul testo del Regolamento e della Direttiva. Vedi il comunicato del Consiglio europeo del 18 dicembre 2015.

Il 14 aprile 2016 la plenaria del Parlamento Europeo ha adottato in seconda lettura i testi di Regolamento e Direttiva come approvati dal Consiglio. Vedi comunicato stampa del 14 aprile 2016.

Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Vedi il comunicato stampa del 4 maggio 2016.

Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, che dovrà essere recepita dagli Stati membri entro 2 anni. Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento, che diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018. Vedi il comunicato stampa del 24 maggio 2016.