Dopo oltre quattro anni dalla proposta della Commissione, il 14 aprile 2016 il Parlamento europeo ha approvato in seconda lettura il Regolamento europeo concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati.
Gli incessanti progressi tecnologici degli ultimi anni, frutto di una società dell’informazione sempre più intrusiva nella sfera privata degli individui, avevano evidenziato da un lato l’inadeguatezza di una normativa europea a protezione dei dati personali, la Direttiva 95/46/CE, elaborata nelle prime fasi dell’evoluzione digitale e, dall’altro lato, la frammentazione normativa causata dal recepimento della stessa nelle legislazioni degli Stati membri.
Il Regolamento risponde quindi all’esigenza, da tempo avvertita, di riformare la disciplina a tutela dei dati personali ampliando il novero dei diritti dell’interessato, rispetto a quanto previsto dalla Direttiva, e di uniformare la normativa degli Stati, anche nell’ottica di rafforzare il mercato unico interno. Significativa in tal senso è la scelta del legislatore europeo di adottare lo strumento del regolamento, che a differenza della direttiva non richiede alcun atto di recepimento, essendo di diretta e identica applicabilità in ogni Stato membro.
Tra le principali indicazioni introdotte dal Regolamento (Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA) pare rilevare il nuovo campo di applicazione territoriale di cui all’art. 3. In precedenza la Direttiva 95/46/CE prevedeva che la disciplina fosse applicabile, per il tramite delle legislazioni nazionali, quando il trattamento di dati personali fosse effettuato nel contesto delle attività di uno stabilimento del titolare situato nell’Unione europea. Criterio centrale per la determinazione dell’ambito di applicazione della Direttiva era, dunque, il luogo fisico in cui i dati venivano trattati. Ad oggi tale criterio sembra essere stato rovesciato dall’art. 3, comma 1° del Regolamento, il quale specifica l’applicabilità dell’atto “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.
Già negli ultimi due anni, a partire dalla decisione Google Spain fino alla recente Schrems, gli orientamenti delineatisi nella giurisprudenza della Corte di giustizia europea hanno evidenziato la tendenza ad un’interpretazione meno restrittiva di tale criterio. Sembra infatti che sia emersa la volontà di estendere la normativa europea anche a casi in cui i titolari di trattamento sono soggetti non europei e i dati sono trattati principalmente fuori dall’Europa. Ora, l’art. 3 del Regolamento sembra avere, per così dire, codificato l’interpretazione estensiva della Corte attraverso la previsione di molteplici criteri di collegamento, che consentono di attrarre nell’ambito di applicazione della normativa europea anche trattamenti che prima era difficile includere. Il Regolamento è, infatti, applicabile non solo ai trattamenti effettuati nell’ambito delle attività di uno stabilimento del titolare situato nell’Unione, ma anche nel caso si tratti di uno stabilimento del responsabile. Inoltre, è applicabile quando l’attività di trattamento riguardi l’offerta di beni o la prestazione di servizi rivolti, anche gratuitamente, a interessati situati in territorio europeo o quando l’attività sia volta al monitoraggio del comportamento di questi ultimi, anche se i titolari o responsabili non siano stabiliti nell’Unione.
Diverse sono poi le novità introdotte dalla riforma, tra cui si annovera la previsione di nuovi diritti dell’interessato (tra cui il diritto all’oblio e il diritto alla portabilità dei dati), la responsabilizzazione dei soggetti coinvolti nel trattamento dei dati personali (in particolare l’obbligo per i titolari di effettuare la c.d. privacy impact assesment e di notificare le violazioni dei dati), nuove garanzie per i trasferimenti di dati all’estero, nonché la conferma delle due figure di vigilanza rappresentate dal Data Protection Officer e dalla Supervisory Authority.
Quanto al coordinamento con la normativa europea (il Regolamento sarà applicabile decorsi due anni dalla data di entrata in vigore) il legislatore italiano dovrà scegliere tra le due strade ora percorribili: l’applicazione diretta del Regolamento, con la conseguente abrogazione di tutte le disposizioni nazionali incompatibili con la norma europea, o l’integrazione dell’attuale Codice in materia di protezione dei dati personali, con gli inevitabili rischi di erronee trasposizioni o interpretazioni del dettato europeo.
Aggiungi commento