Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (“GDPR”) entra in vigore il 25 maggio 2016, con applicazione stabilita con decorrenza dal 25 maggio 2018.
Il GDPR è uno strumento normativo innovativo e costituisce un “cambio di passo” decisivo, con riguardo alla protezione dei dati personali.
Innanzitutto, il GDPR interviene successivamente ad un passaggio importante: il formale riconoscimento, come diritto fondamentale, del diritto alla protezione dei dati personali, come indicato dall’art. 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e dall’art.16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea, in cui è stabilito che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
Questo elemento, successivo alla Direttiva 95/46, connota, altresì, l’adozione del diverso strumento del regolamento, destinato ad avere immediata efficacia all’interno dell’Unione.
Entrando nel merito del GDPR, il primo elemento di rilievo, che va osservato, riguarda la stretta connessione e interdipendenza - evidenziata all’art. 1 paragrafo 1 del GDPR - tra la “protezione delle persone fisiche con riguardo al trattamento dei dati personali” e la “libera circolazione di tali dati”.
Questa tensione caratterizza il GDPR e si rileva in numerosi passaggi del testo del GDPR, oltre che in alcuni considerando, tra cui, in particolare, il considerando 7, da cui si evince la rilevanza del “principio di fiducia”, rappresentato dalla necessità di “creare un clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno”.
Un principio fondamentale, non formalizzato tra i principi elencati all’art. 5 del GDPR, ma, comunque, avente una precipua funzione ancor più significativa se rapportata alla nuova realtà digitale ed inoltre strettamente collegato e conseguente all’innovativo principio di “responsabilizzazione” (accountability) ed a quello di trasparenza, anch’esso espressamente incluso nell’elenco dei principi del trattamento di cui all’art.5, oltre che disciplinato all’art. 12.
Il legislatore del GDPR su questo punto è risoluto e fortemente motivato: è, infatti, proprio per effetto dell’affermazione diffusa di un “clima di fiducia” che si potrà determinare e incrementare la libera circolazione dei dati e lo sviluppo dell’economia digitale.
Questo mutato scenario, a cui si riferisce il GDPR, giustifica un’ulteriore evoluzione nella concezione del diritto alla protezione dei dati personali: non più e non solo “proprietaria”, ma basata sul diritto al controllo dei dati, certamente più adeguata alle specifiche caratteristiche della realtà digitale, come esplicita lo stesso considerando 7, relativamente all’opportunità che “le persone fisiche abbiano il controllo dei dati personali che le riguardano”.
A ciò va aggiunto, quale ulteriore elemento di rilievo, il riferimento, contenuto nel GDPR, alle persone fisiche e alla tutela dei rispettivi diritti e libertà fondamentali, diversamente dal precedente impianto normativo, incentrato sul trattamento dei dati personali e sui relativi soggetti, tra cui gli interessati.
Questa evoluzione comporta un’applicazione più estesa del GDPR, riferito non solo agli interessati, i cui dati sono oggetto di trattamento, ma anche ad ogni persona fisica, ancor prima, dunque, che siano stati posti in essere trattamenti di dati personali ad essa inerenti. Anche tale ampliamento è un riflesso delle caratteristiche della nuova realtà ed economia digitale.
In coerenza con quanto sopra, si pone, altresì, la centralità nel GDPR della valutazione del rischio; un tema di assoluta novità, strettamente collegato all’accountability del titolare, al quale è richiesta – come esplicitato nel considerando 76 del GDPR - una vera e propria valutazione oggettiva del rischio, a cui è collegato il controllo, che coinvolge il titolare, oltre che nella fase iniziale, anche nel corso dello svolgimento delle operazioni di trattamento, in modo tale che le misure dallo stesso adottate – come previsto dall’art. 24 del GDPR - possano essere costantemente riesaminate e aggiornate.
Tale impostazione, incentrata sulla gestione del rischio, contraddistingue il GDPR.
