VISIONA IN ANTEPRIMA LA PRIMA LEZIONE GRATUITA DEL CORSO
Parte 1
La Carta dei diritti fondamentali dell’UE stabilisce che i cittadini dell’UE hanno diritto alla protezione dei propri dati personali. Con l’introduzione di misure di protezione dei dati si realizza l’obiettivo di adeguare l’Europa all’era digitale. Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento (UE) 2016/679, noto come GDPR, ossia l’acronimo di “General Data Protection Regulation”. Si tratta di un Regolamento che disciplina la protezione delle persone fisiche, con riguardo al trattamento e alla libera circolazione dei dati personali.
Le esigenze alla base della nascita del GDPR, come indicato dalla stessa Commissione UE, sono quelle di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Unione Europea verso tutte le altre parti del mondo.
Le sfide emerse dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini UE, hanno reso necessaria una risposta urgente. Il Regolamento rappresenta un passo essenziale per rafforzare i diritti fondamentali dei singoli nell’era digitale e per agevolare le attività economiche realizzando regole chiare cui le imprese possano attenersi nel mercato unico digitale. L’introduzione di un unico atto legislativo è utile per porre fine all’attuale frammentazione nei vari sistemi nazionali e diminuire gli oneri amministrativi superflui.
A preoccupare sono, però, gli spazi di autonomia che permangono in capo ai singoli Stati Membri nel disciplinare in maniera più specifica rispetto al GDPR alcuni aspetti non ricompresi nella competenza dell’UE in base al principio di attribuzione. Tale circostanza potrebbe far sorgere contrasti tra le diverse Autorità di controllo nazionali che si trovino a disciplinare nello specifico e applicare in concreto a livello nazionale le disposizioni del GDPR.
Con il GDPR si esprime il concetto di responsabilizzazione o accountability del titolare, inoltre si realizzano più elevati importi per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate. Si introduce il concetto di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach e si inseriscono regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili. Vengono previsti alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati, nonché regole più chiare su informativa e consenso. Si amplia la categoria dei diritti che spettano all’interessato con criteri rigorosi per il trasferimento degli stessi al di fuori dell’UE.
Le norme si applicano a tutte le imprese, dunque anche a quelle situate fuori dall’Unione Europea che però offrono servizi o prodotti all’interno del mercato UE. Da ciò deriva maggiore responsabilità per le imprese stesse e la conseguente previsione di pesanti sanzioni, in caso di inosservanza delle suddette.
L’Italia si è adeguata alla normativa europea tramite il D.Lgs. 10 agosto 2018, n. 101, entrato in vigore il 19 settembre 2018, che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del GDPR, il D.Lgs. 101/2018 ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale tra cui la previsione di alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR.