Il 27 aprile 2016 è stato emanato dal Parlamento Europeo e dal Consiglio il Regolamento UE n. 2016/679 (di seguito denominato anche solo “Regolamento”), che entrerà in vigore il prossimo 25 maggio 2018, e che, insieme alla Direttiva 2016/680 (anch’essa pubblicata il 04/05/2016), costituisce il c.d. “Pacchetto europeo protezione dati”.

In particolare, mentre la suddetta Direttiva (riguardante la “…protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati…”) dovrà essere recepita negli Stati membri entro due anni dalla data di pubblicazione, il Regolamento, non necessita in sé di alcun atto di recepimento, ma sarà importante comunque monitorare come gli Stati Membri stiano adeguando ad esso le proprie normative interne e come lo stesso verrà effettivamente recepito da enti pubblici, imprese e soggetti privati.

Il Regolamento si applica (art. 2 comma 1) “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”; mentre non si applica (art. 2 comma 2) ai trattamenti di dati personali:

  • effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
  • effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
  • effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
  • effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Un compiuto esame delle varie parti del Regolamento e delle principali novità dallo stesso introdotte sarà oggetto di successivi e più specifici articoli, mentre al momento ci limitiamo a segnalare che tra le novità di maggior impatto vi è sicuramente l’introduzione della nuova figura (oltre a quelle già conosciute del Responsabile e del Titolare del trattamento) del “Responsabile della Protezione dei Dati”, anche definito Data Protection Officer (“DPO”), che dovrà essere necessariamente nominato ogniqualvolta (art. 37):

  1. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Si segnala, ancora, che il Garante per la Privacy ha creato sul proprio sito web istituzionale una sezione appositamente dedicata al Regolamento al fine di facilitarne la consultazione.

“Tutti gli esseri umani hanno tre vite: pubblica, privata e segreta”. Gabriel García Márquez

Autore: Filippo Muzzolon