La Commissione Europea ha approvato la riforma delle regole legate alla protezione dei dati personali, che va sotto il nome di GDPR: ecco cosa prevede
Da gennaio 2012 la Commissione Europea lavora a una riforma delle regole legate alla protezione dei dati personali, che va sotto il nome di GDPR (General Data Protection Regulation): un pacchetto legislativo per aggiornare e modernizzare le norme in materia che proprio nel corso del 2016 ha visto la sua approvazione ed entrata in vigore. Il regolamento è entrato in vigore nel 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018: le imprese e le pubbliche amministrazioni hanno quindi due anni di tempo per organizzarsi e adeguarsi alle nuove regole.
La Riforma GDPR è uno step fondamentale per il diritto nell'era del digitale e per una legislazione unificata, valida in tutti i paesi UE.
La sua attuazione evita la frammentazione delle spese e dei costi amministrativi (si stima un risparmio di 2,3 miliardi di euro all'anno) e facilita l'attività della polizia, della giustizia e delle autorità nel proteggere i cittadini in caso di violazioni criminali. Costituisce un prezioso tentativo di armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.
GDPR Gli step della riforma
Sono due gli strumenti legislativi che sono stati interessati in questa riforma: il regolamento generale sulla protezione dei dati (in precedenza legato alla direttiva 95/46/CE) e quello sulla protezione dei dati nel settore delle attività di contrasto (in sostituzione della decisione quadro sulla protezione dei dati del 2008). L'obiettivo è quello di creare linee guida che tengano conto della digitalizzazione dei cittadini e mettano in condizione questi ultimi di avere il piento controllo delle loro informazioni personali, semplificando anche le procedure per le aziende nel mercato digitale. Oltre il 90% dei cittadini europei ha affermato di volere che la stessa regolamentazione sia valida in tutti i paesi europei – indipendentemente da dove i dati vengono processati.
I passi della riforma GDPR
Il 18 dicembre 2015 il Comitato dei rappresentanti permanenti (Coreper) ha confermato i testi di compromesso concordati con il Parlamento europeo sulla riforma della protezione dei dati. L’accordo tra Consiglio, Parlamento e Commissione è stato raggiunto il 15 dicembre 2015.
L'8 aprile 2016 il Concilio ha adottato il regolamento e la direttiva, e qualche giorno dopo (14 aprile) anche il Parlamento Europeo ha fatto lo stesso. Il regolamento (2016/679) è stato pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 ed è entrato in vigore il 24 dello stesso mese, dando il via a una nuova stagione per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Le norme
Il testo del regolamento 2016/679 abroga la direttiva la Direttiva 95/46/Ce in materia di protezione dei dati personali e privacy, concepita in un periodo nel quale solo una minima parte della popolazione europea (nella percentuale del 1%) utilizzava internet e non esistevano social media, tablet, app e gli scenari e gli effetti della moderna e l’ attuale società della sorveglianza elettronica nella quale sono gli stessi cittadini che pubblicano, più o meno inconsapevolmente i propri dati personali sulle piattaforme on line e social media.
Il regolamento costituisce, con la direttiva Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, il cosiddetto "pacchetto protezione dati personali".
Cosa cambia per i cittadini
I cittadini, con le nuove disposizioni, sono al centro del sistema. Sono loro riconosciuti il diritto alla portabilità dei dati, il diritto all'oblio (prima solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati alle sue informazioni e di essere informato su eventuali violazioni (“data breach”, notificazione di una violazione di dati).
Il regolamento comporta un cambiamento anche culturale: difendere i dati, significa difendere le persone, l’identità e la libertà delle stesse.
Il testo impone inoltre alle imprese e alle pubbliche amministrazioni una forte responsabilizzazione, un cambio di passo, un approccio proattivo. La protezione dei dati personali diventa, finalmente, un asset strategico delle pubbliche amministrazioni che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi, (secondo i principi “data protection by design” e “data protection by default”).
