26

innovazione.PA

|

01-02/2018

| ANNO XV GENNAIO - FEBBRAIO

Il cambiamento normativo:

un solo Regolamento

per tutti gli Stati membri

Meno burocrazia e più attenzione a responsabilità e prevenzione

Il GDPR scaturisce da un lungo percorso in tema di tutela dei

dati personali, avviato nei diversi Paesi dell’Unione. La prima

disposizione in materia risale al 1981, con la Convenzione n.108 del

Consiglio d’Europa espressamente dedicata alla protezione degli

individui, rispetto al trattamento automatizzato dei dati personali,

mettendo a fuoco la necessità di garantire il diritto dei cittadini alla

riservatezza delle informazioni. Il principale punto di riferimento

sino a questo momento è stato la direttiva 95/46/CE che, con la

nascita dei diversi regolamenti nazionali in materia, ha assunto il

compito di armonizzare il quadro normativo a livello comunitario.

In essa viene sancito il legame necessario tra tutela dei dati personali

e privacy che, da allora, diviene un diritto espressamente previsto e

precisato nella successiva produzione normativa europea, a partire

dalla Carta dei diritti fondamentali dell’Unione.

Il nuovo GDPR si inserisce in questo solco, con la finalità di

ampliare le garanzie a tutela dei dati personali andando a regolare lo

spazio normativo coperto in Italia dal Codice della Privacy.

In tal senso, il Parlamento italiano, lo scorso 17 ottobre, ha delegato

il Governo a riordinare complessivamente la normativa in materia,

raccordando quella interna (il D. Lgs 196/2003) con le disposizioni

previste dal GDPR. Il Governo è tenuto ad osservare alcuni precisi

criteri: abrogare espressamente le disposizioni del Codice in materia

di trattamento dei dati personali incompatibili con le disposizioni

del GDPR; modificare il Codice della Privacy limitatamente

a quanto necessario per dare attuazione alle disposizioni non

direttamente applicabili contenute nel GDPR; coordinare le

disposizioni vigenti in materia di protezione dei dati personali con le

disposizioni recate dal GDPR; prevedere, ove opportuno, il ricorso

a provvedimenti attuativi adottati dal Garante per la protezione dei

Dati Personali per le finalità previste dal GDPR; adeguare il sistema

sanzionatorio penale ed amministrativo alle disposizioni del GDPR,

prevedendo sanzioni efficaci, dissuasive e proporzionate alla gravità

della violazione delle disposizioni.

Ma quali sono i principali elementi di novità introdotti da

questo Regolamento?

Il GDPR rappresenta un intervento normativo di grande

complessità: è costituito da 99 articoli e comprende 173

‘considerando’, che avranno un impatto decisivo in fase di

interpretazione della normativa.

Secondo il

Prof. Francesco Duranti, docente di diritto costituzionale

comparato presso l’Università per Stranieri di Perugia

, tra i curatori

dello Speciale GDPR , occorre sottolineare come “la stessa scelta

dello strumento normativo individuato, ovvero il Regolamento

anziché la Direttiva, ha come conseguenza quella di rendere

immediatamente applicabili, in tutti gli Stati membri, molte delle

principali scelte innovative effettuate senza rinviare la concreta

attuazione alle singole discipline nazionali; come era avvenuto

invece con la precedente direttiva madre”. Altrettando significativa

è la scelta di sostituire diversi adempimenti di carattere formale

con altri, finalizzati “…ad introdurre una efficace forma di

responsabilizzazione preventiva di chiunque si occupi del

trattamento dei dati personali, a cominciare dalla introduzione

di una specifica figura professionale - il Data Protection Officer

(DPO) - a cui affidare, in via esclusiva, una serie di complesse

responsabilità connesse alla progettazione e al monitoraggio del

trattamento dei dati personali”.

Tra le innovazioni rilevanti va sottolineato l’ambito di applicazione

della normativa.

Secondo il GDPR tutti i trattamenti svolti sui dati personali dei

cittadini europei sono soggetti al controllo delle Autorità europee,

anche qualora venissero svolti da imprese ed organizzazioni con

sedi esterne all’Unione Europea.

Il GDPR rafforza le garanzie da esprimere attraverso l’informativa

e l’acquisizione del consenso che deve essere esplicito.

Sul piano dei diritti, oltre alla conferma dei già conosciuti diritti

di accesso, rettifica, cancellazione, limitazione e opposizione, il

GDPR introduce ora due nuovi diritti: quello alla portabilità dei

dati (art. 20) e quello all’oblio (art. 17).

Ugualmente significativo è l’accento posto sulla responsabilità dei

titolari e dei responsabili del trattamento dei dati personali attraverso

l’approccio nella definizione dei servizi in termini di

Privacy by

Design

e

Privacy by Default

, che mira a rendere effettiva la

responsabilizzazione dei titolari chiamati ad implementare misure in

grado di difendere efficacemente i dati personali.

Inoltre, il Regolamento assegna, nel complesso, maggiori competenze

e poteri alle Autorità di garanzia, rafforzando i meccanismi di

collaborazione tra di esse: introduce, a tal fine, il ‘Comitato europeo

per la protezione dei dati’, erede del Gruppo art. 29.

Privacy, un diritto per i cittadini d’Europa

DOSSIER