Il 26 maggio prossimo entrerà in vigore in via definitiva il Regolamento dell’Unione Europea in materia di trattamento di dati personali (GDPR 2016/679) che introduce nuovi principi, nuove prassi operative e più diritti per i titolari dei dati personali, ed un livello di protezione degli stessi uniforme in tutti gli Stati dell’Unione, al fine di eliminare il divario normativo attualmente esistente, consentire una migliore circolazione delle informazioni e facilitare le attività economiche tra le imprese e gli enti che operano sul territorio europeo, garantendo maggiore certezza giuridica. Il Regolamento abroga la direttiva n. 95/46/CE, sebbene molti dei suoi obiettivi e principi rimarranno validi.
Trattandosi di una norma che ha efficacia diretta piena, la sua entrata in vigore determinerà l’automatica applicabilità delle norme in esso contenute nei confronti di tutti i cittadini italiani, ciò significa, nella sostanza, che tutti coloro che trattano dati personali sarebbero direttamente chiamati a rendere la propria organizzazione conforme alle norme del GDPR, senza attendere ulteriori dettami interni, anche se il Regolamento stesso (cons. n.10) afferma espressamente che gli Stati membri restano comunque liberi di mantenere o introdurre norme nazionali, al fine di specificare ulteriormente l’applicazione delle disposizioni contenute nel Regolamento.
Le nuove disposizioni pertanto, si applicheranno in combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati che ha dato attuazione alla direttiva 95/46/CE. In base a tale prospettiva, considerando che nel nostro ordinamento, oltre al Codice Privacy, esistono anche varie disposizioni specifiche attive in diversi settori e che anche il Garante della Privacy, nel corso degli anni, ha espresso pareri, provvedimenti e linee guida, molte di quelle disposizioni e provvedimenti continueranno ad avere valenza in quanto conformi al Regolamento, come ha espressamente chiarito lo stesso Garante Privacy nella propria Guida all’applicazione del Regolamento n. 679. Il Regolamento prevede pertanto un margine di manovra degli Stati membri, al fine di precisare le norme in materia di trattamento di dati personali, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il regolamento non esclude che il diritto degli Stati membri stabilisca condizioni ad hoc per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni in base alle quali il trattamento di dati personali risulti lecito (cons. n. 10).
Infatti, la legge di delegazione europea del 2017, in previsione della scadenza di maggio 2018 e per consentire che l’adeguamento al Regolamento possa concretamente avvenire anche sul territorio italiano, ha demandato il Governo ad adottare, entro il prossimo 21 aprile 2018, i decreti legislativi per la modifica della normativa privacy nazionale, al fine di renderla totalmente conforme alle disposizioni del Regolamento (UE) 2016/679. Altro intervento in materia si è avuto con la legge di bilancio 2018, in cui è stato affidato al Garante per la protezione dei dati personali, il compito di adottare, entro marzo, la disciplina che regoli le modalità attraverso cui il Garante stesso vigilerà sull’applicazione del Regolamento e le modalità di verifica, anche attraverso l’acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali, controllando la presenza di adeguate infrastrutture per l’interoperabilità di formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati, ai sensi dell’art. 20 del Regolamento, che ai fini dell’adeguamento tempestivo alle disposizioni dello stesso, definendo linee-guida o buone prassi in materia di trattamento dei dati personali basato sull’interesse legittimo del titolare.
In vista dunque dell’applicazione delle nuove regole, coloro che si erano già adeguati al Codice Privacy, alle linee guida e ai provvedimenti emanati dal Garante nel corso degli anni e che quindi avevano assunto una condotta responsabile rispetto ai dati trattati potranno stare sereni, nel senso che l'eventuale lavoro aggiuntivo dovrà limitarsi ad una valutazione per verificare che le azioni intraprese per tempo (es. informative, richieste di consensi, policy, misure di sicurezza, portabilità dei dati, permessi sui dati, misure di verifica, monitoraggio, ecc), rispondano a quanto oggi richiesto dal Regolamento e molto di quel lavoro, se fatto bene, continuerà ad essere efficace; diverso è il caso di chi quelle operazioni non le ha eseguite o le ha eseguite male, in tal caso, dovrà attivarsi per approntare tutte le misure opportune perché la propria organizzazione sia conforme al nuovo Regolamento europeo sui dati personali, considerando che esso prevede pesanti sanzioni per chi non è a norma.