Nel dicembre 2015, dopo un lungo e complesso iter legislativo, è stato approvato il Regolamento europeo in materia di protezione dei dati personali: atto normativo che si basa sulla proposta COM(2012)11, così come emendata dal Parlamento e dal Consiglio UE. In attesa della definitiva pubblicazione in Gazzetta Ufficiale, le Autorità garanti degli Stati membri, gli studiosi della materia ed i soggetti coinvolti nell’adempimento delle disposizioni legislative, hanno intrapreso un’opera di esame ed interpretazione del testo, al fine di comprenderne peculiarità e le differenze rispetto alla normativa attualmente vigente.
Numerose le novità introdotte. Innanzitutto è opportuno osservare come il Regolamento si applichi in modo tendenzialmente uniforme in tutto il territorio dell’Unione, complice la natura dell’atto stesso, ben diverso dalle Direttive, che necessitano invece di una normativa di recepimento che varia di Paese in Paese e che quindi moltiplica le potenziali divergenze legislative. Al di là dell’uniformità della disciplina, ulteriori aspetti caratteristici del Regolamento concernono sicuramente il rafforzamento, l’implementazione dei diritti degli interessati, a fronte di una semplificazione degli adempimenti incombenti sui Titolari del trattamento: rafforzamento da un lato e semplificazione dall’altro, che vengono contemperati nella possibilità per gli Stati membri, prevista in talune materie come l’ambito lavoristico, di prevedere tutele più incisive nei riguardi degli interessati o regolamentazioni più dettagliate in taluni settori.
Elemento cardine del Regolamento sembra essere la predisposizione di misure idonee ad esaminare preventivamente l’impatto che le attività svolte dal Titolare esercitano sul trattamento dei dati posto in essere dallo stesso: è la c.d. “privacy by design”, alla quale si accompagna l’obbligo di notificare l’eventuale data breach sia all’Autorità che agli interessati le cui informazioni abbiano subito un danno (come, ad esempio, in caso di perdita o di distruzione). Viene poi prevista la figura del Data Protection Officer, e quindi del Responsabile della protezione dei dati personali: figura obbligatoria nel caso di Ammnistrazioni ed Enti pubblici (ad eccezione degli uffici giudiziari), di Titolari la cui attività implichi un costante controllo da parte dei soggetti le cui informazioni vengono trattate o, infine, Titolari le cui attività concernano il trattamento di dati sensibili.
Anche per quanto riguarda gli interessati, il Regolamento modifica alcuni aspetti sostanziali della disciplina odierna (che, ricordiamo, rimarrà in vigore fino al 2017), prevedendo un novero di diritti più ampio e di più agevole azione. Ne costituiscono degli esempi il riconoscimento, seppur condizionato ad alcuni presupposti, del diritto all’oblio, la possibilità della c.d. portabilità del dato, l’intensificazione degli oneri informativi, il rafforzamento della tutela nei riguardi dei minori, nonché la maggiore facilità nell’adire l’Autorità garante in caso di violazione dei propri diritti.
In relazione a quest’ultima, e più in generale a tutte le Autorità garanti europee, si intensificano gli obblighi di cooperazione e collaborazione per la corretta applicazione della normativa, per l’efficace repressione degli illeciti e per la comminazione di sanzioni rapportate alle dimensioni ed alla tipologia di trattamento posto in essere dalle imprese inadempienti.
Il Regolamento offre così l’occasione per adeguare ciascuna realtà, pubblica o privata che sia, alle nuove disposizioni in esso contenute, trasformando gli obblighi legislativi in un’opportunità di razionalizzazione e miglioramento delle attività imprenditoriali.