Che cos’è il GDPR – General Data Protection Regulation
Con l’acronimo G.D.P.R. si fa riferimento al General Data Protection Regulation. Si tratta di un regolamento europeo, ovvero un atto legislativo europeo di portata generale, le cui disposizioni sono integralmente obbligatorie ed automaticamente vincolanti, sia per le Autorità Pubbliche sia per i singoli cittadini, in tutti gli Stati membri fin dalla sua entrata in vigore.
Il regolamento è un atto generale perché non è rivolto a soggetti specificamente individuati, ma a categorie astratte di destinatari ed ha effetti diretti perché non richiede un intervento attuativo da parte dei legislatori nazionali per avere efficacia. Inoltre, il regolamento dell’Unione Europea prevale su eventuali leggi degli Stati membri incompatibili o in contrasto con esso, in forza del principio del primato del diritto europeo su quello nazionale.
Il GDPR, in particolare, è il Regolamento dell’Unione Europea n. 2016/679 del 27 aprile 2016, adottato dal Parlamento europeo e dal Consiglio, e avente ad oggetto la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati all’interno dell’Unione Europea.
Tale regolamento, insieme alla Direttiva UE 2016/680 in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini (che dovrà essere recepita con legge nazionale entro due anni), è parte del cosiddetto “Pacchetto protezione dati”, nato con l’obiettivo di definire un nuovo quadro comune all’interno del territorio europeo in materia di tutela dei dati personali e favorire la circolazione sicura dei dati personali.
La spinta all’introduzione del GDPR è arrivata intanto dalla necessità di procedere ad un aggiornamento della disciplina (alla luce, prima di tutto, delle profonde modifiche tecnologiche ed informatiche che si sono verificate negli ultimi anni con un ritmo incessante) e, inoltre, dalla volontà di creare un contesto omogeneo all’interno del quale i dati personali possano circolare liberamente, ma con elevate garanzie di tutela dei diritti dei cittadini.
Il GDPR sostituisce ed abroga la precedente direttiva 95/46/CE sulla protezione dei dati personali, che ha rappresentato fino ad oggi il testo di riferimento in materia di privacy, dando l’impulso fondamentale per lo sviluppo della disciplina normativa nazionale del settore. La direttiva, infatti, ha introdotto per la prima volta in ambito europeo una regolamentazione organica, ponendo una serie di principi e di regole da rispettare per procedere ai trattamenti, alla raccolta e all’uso di dati personali e richiedendo, tra l’altro, l’istituzione di organismi nazionali indipendenti per la tutela di tali diritti (da cui si è avuta la nascita dell’Autorità Garante per la protezione dei dati personali). Questa normativa, tuttavia, per quanto di fondamentale importanza nell’aver posto le basi dell’attuale tutela della privacy, si inseriva in un contesto di riferimento che è mutato totalmente nel corso degli anni: basti pensare che l’utilizzo di internet all’epoca era assolutamente marginale e che si ignoravano le problematiche connesse ai social media o ai sistemi di sorveglianza elettronica. Altro aspetto che si è dimostrato limitante è che la direttiva 95/46/CE rimetteva ai singoli Stati l’emanazione della disciplina legislativa interna, lasciando loro ampi margini di adattamento e di deroga, soprattutto in settori particolari. Di conseguenza, per quanto la direttiva avesse come obiettivo di fondo quello di creare una disciplina organica e armonica, di fatto si è creato un quadro normativo complesso e disomogeneo tra gli Stati membri, che hanno introdotto disposizioni talvolta profondamente diverse tra loro.
Dunque, per assicurare un livello adeguato di protezione e favorire la libera circolazione dei dati nel territorio europeo, l’Unione Europea ha ritenuto necessario intervenire con un regolamento (atto, appunto, direttamente vincolante per tutti i soggetti europei, pubblici e privati, e, quindi, più stringente rispetto allo strumento delle direttiva utilizzato in precedenza) introducendo un provvedimento che possa essere in grado di garantire certezza, trasparenza e uniformità nei trattamenti e nelle responsabilità.
Sebbene sia entrato ufficialmente in vigore il 24 maggio 2016, il GDPR sarà applicabile in via diretta in tutti i Paesi UE soltanto a partire dal 25 maggio 2018.
Tale dilazione è stata stabilita appositamente affinché gli Stati membri si mettano in condizione di garantire un allineamento fra la propria normativa nazionale in materia di protezione dati e le disposizioni del Regolamento, proprio a causa delle profonde asimmetrie che si sono create nel tempo tra le singole discipline interne in materia di privacy. Ciò anche considerando che il quadro è ulteriormente complicato dal fatto che il nuovo regolamento, da un lato, non abroga direttamente le decisioni della Commissione né le autorizzazioni delle Autorità nazionali fondate sulla Direttiva Comunitaria 95/46 e, dall’altro, comporta un’abrogazione implicita delle disposizioni nazionali soltanto laddove incompatibili o in contrasto con la nuova disciplina e non una loro automatica cancellazione.