10 / 53
SPECIALE GDPR
40
dicembre 2017
vedimenti attuativi e integrativi adottati dal Garante
per la protezione dei dati personali nell’ambito e per
le finalità previsti dal GDPR;
e) adeguare, nell’ambito delle modifiche al Codice della
Privacy, il sistema sanzionatorio penale e amministra-
tivo vigente alle disposizioni del GDPR con previsione
di sanzioni penali e amministrative efficaci, dissuasive
e proporzionate alla gravità della violazione delle di-
sposizioni stesse.
Scaduto il termine di sei mesi entro il quale il Governo
dovrà attuare la delega legislativa, sarà di particolare
interesse verificare quale sarà il nuovo quadro norma-
tivo entro il quale i destinatari (enti pubblici e aziende
private) dovranno operare, avendone attuato tutti gli
adempimenti che esso prevede.
Le innovazioni sostanziali del GDPR
Il nuovo GDPR rappresenta un intervento normativo di
particolare complessità. È infatti articolato in 99 articoli
e comprende inoltre ben 173 ‘considerando’, molti dei
quali avranno un impatto decisivo in sede di interpre-
tazione della nuova normativa.
I vari contributi presenti in questo speciale di Office
Automation si occupano di fornire una lettura analitica
delle principali novità introdotte dalla nuova disciplina,
mentre in questa sede ci si limiterà, di conseguenza, a
delineare solo i tratti generali di maggiore interesse e
rilievo innovativo.
In prima battuta si sottolinea il fatto che la stessa scelta
dello strumento normativo individuato, ovvero il Re-
golamento anziché la Direttiva, ha come conseguenza
quella di rendere immediatamente applicabili, in tutti
gli Stati membri, molte delle principali scelte innovative
effettuate, senza rinviarne la concreta attuazione alle
singole discipline nazionali; come era avvenuto invece
con la precedente direttiva madre.
Il secondo profilo generale che appare meritevole di con-
siderazione è poi costituito dalla scelta di sostituire gli
adempimenti di mero carattere formale con quelli, ben
più rilevanti, miranti ad introdurre una efficace forma di
responsabilizzazione preventiva di chiunque si occupi del
trattamento dei dati personali, a cominciare dalla intro-
duzione di una nuova specifica figura professionale – il
Data Protection Officer (DPO) – a cui affidare, in via
esclusiva, una serie di complesse responsabilità connes-
se alla progettazione e al monitoraggio del trattamento
dei dati personali.
Un altro profilo di particolare interesse e novità è, inoltre,
costituito dall’ambito di applicazione della nuova norma-
tiva, risultando espressamente superato il precedente
criterio di stabilimento di cui all’art. 3 della direttiva ma-
dre: in base al nuovo GDPR sono ora soggetti al con-
trollo da parte delle Autorità europee tutti i trattamenti
svolti sui dati personali dei cittadini europei, anche se
questi trattamenti vengono effettuati da soggetti e in
sedi esterne all’Unione europea, con alcune limitazioni,
indicate espressamente dalla normativa.
Sensibilmente accresciute risultano poi le garanzie re-
lative all’informativa – ora conformata sotto forma di
strumento di effettiva trasparenza – e al consenso, com-
plessivamente ridefinito, in ottica di maggiore garanzia,
dal nuovo GDPR.
Per quanto concerne i diritti degli interessati, oltre alla
conferma dei già conosciuti diritti di accesso, rettifica,
cancellazione, limitazione e opposizione, il GDPR in-
troduce ora due nuovi diritti: quello alla portabilità dei
dati (art. 20) e quello all’oblio (art. 17, frutto evidente
della giurisprudenza della Cor te di giustizia nel caso
Google Spain).
Quanto poi alla introduzione di specifici doveri in capo
ai Data Controller, si segnala il nuovo approccio in ter-
mini di Privacy by Design e di Privacy by Default (art.
25), che mira a rendere effettiva la responsabilizzazione
del titolare del trattamento dei dati, chiamato a imple-
mentare misure in grado di proteggere efficacemente
i dati personali.
Infine, sono complessivamente accresciute le competenze
e i poteri delle Autorità di garanzia, con un esplicito raf-
forzamento dei meccanismi di cooperazione tra di loro
e con la introduzione del nuovo Comitato europeo per
la protezione dei dati (art. 68), erede del precedente
Gruppo art. 29. Con lo scopo, più in generale, di rendere
il diritto fondamentale alla protezione dei dati personali
sempre più garantito ed effettivo nei confronti di una real-
tà circostante in continua e incessante trasformazione.
segue da pagina 37