Il 25 gennaio 2012 la Commissione ha adottato un pacchetto di misure per la riforma delle norme dell’UE in materia di protezione dei dati, che comprende una proposta di regolamento contenente il quadro normativo generale in materia di protezione dei dati e una proposta di direttiva sulla protezione dei dati nel settore delle attività di contrasto. Attualmente la proposta, in conformità alla procedura legislativa ordinaria, si trova nella fase preliminare di discussione all’interno del Parlamento Europeo, il quale dovrà decidere se approvare il testo con o senza eventuali emendamenti. Nel corso dell’anno passato, la proposta è stata oggetto di esame da parte del Garante Europeo per la Protezione dei Dati, del Comitato Economico e Sociale Europeo e del Comitato delle Regioni, i quali hanno espresso il loro parere.
L’attuale normativa in vigore nel nostro ordinamento si ispira a quanto delineato all’interno della direttiva 95/46/CE, pietra angolare nell’impianto complessivo della vigente normativa dell’UE in materia di protezione dei dati personali. Adottata nel 1995, la direttiva mirava al raggiungimento di due obiettivi fondamentali: il primo era quello di salvaguardare il diritto fondamentale alla protezione dei dati, mentre il secondo era di garantire la libera circolazione dei dati personali tra gli Stati membri.
A spingere il legislatore europeo a rivedere l’intero assetto normativo comunitario sono stati gli incalzanti sviluppi tecnologici che, nell’ultimo decennio, hanno contribuito ad allontanare le frontiere della protezione dei dati personali. La portata della condivisione e della raccolta di dati è sensibilmente aumentata; infatti attualmente la tecnologia consente, sia alle imprese private quanto alle autorità pubbliche, di utilizzare dati personali, come mai in passato, nello svolgimento delle loro attività. Inoltre, sempre più spesso, gli stessi privati immettono sulla rete mondiale informazioni personali che li riguardano, rendendole così accessibili pubblicamente. E’ inutile sottolineare come le nuove tecnologie non hanno trasformato solo l’economia ma anche le relazioni sociali.
Il Trattato sul Funzionamento dell’Unione Europea (TFUE), all’art. 16, paragrafo 1, stabilisce il principio secondo il quale ogni persona ha diritto alla protezione dei dati personali che la riguardano. Inoltre, all’articolo 16, paragrafo 2, del TFUE il trattato di Lisbona ha introdotto una base giuridica specifica per l’adozione di norme in materia di protezione dei dati personali. Infine, l’articolo 8 della Carta dei diritti fondamentali dell’Unione europea annovera la protezione dei dati personali tra i diritti fondamentali.
Il legislatore europeo, in conformità ai principi di sussidiarietà e proporzionalità, ha optato per regolamentare il settore in questione attraverso lo strumento del regolamento. Tale scelta è stata ritenuta la più efficace e idonea per definire il quadro giuridico per la protezione dei dati personali nell’UE in quanto la sua applicabilità diretta comporterà una riduzione della frammentazione giuridica, a beneficio di una maggiore certezza, migliorando così la tutela dei diritti fondamentali, quale appunto la protezione dei dati personali.
Il regolamento presenta delle sensibili novità rispetto alla normativa precedente, attualmente in vigore nel nostro ordinamento con il D. Lgs. 30 giugno 2003 n. 196 (Codice Privacy). Tra le tante, si può trovare la nuova definizione di “dato genetico”, ovvero qualsiasi dato, riguardante le caratteristiche di una persona fisica che siano ereditarie o acquisite in uno stadio precoce di sviluppo prenatale; viene altresì definito il “dato biometrico”, che rappresenta qualunque dato relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l’identificazione univoca, quali l’immagine facciale o i rilievi dattiloscopici.
Merita di essere evidenziata anche la nuova disciplina relativa al diritto all’oblio ovvero il diritto di ciascun individuo alla cancellazione dei dati in possesso del titolare, ferma restando la possibilità di decidere quali informazioni possono continuare a circolare (in particolare in forma telematica), fatte salve alcune specifiche esigenze (obblighi di legge, libertà di espressione e ricerca storica).
Tra le nuove figure introdotte dal regolamento, merita attenzione quella del “data protection officer” (equivalente del “responsabile del trattamento”), il quale è tenuto ad elaborare una valutazione di impatto sulla protezione dei dati, quando il trattamento presenta dei rischi specifici.
Infine, il pacchetto di proposte della Commissione prevede anche l’adozione di una direttiva “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati”. Secondo le intenzioni del legislatore comunitario, la direttiva rappresenta lo strumento più efficace per garantire l’armonizzazione a livello comunitario in tale settore, che rientra per altro tra le competenze concorrenti, e per dare allo stesso tempo la libertà necessaria agli Stati membri quando attuano i principi, le norme a livello nazionale. Attualmente anche la direttiva, così come per il regolamento prima in questione, attende ancora l’esame da parte del Parlamento Europeo, avendo già superato l’esame e il parere degli organismi comunitari.
- La protezione dei dati personali nelle attività di marketing: brevi riflessioni sul provvedimento del Garante nei confronti della società Tim S.p.A. - 10 Febbraio 2020
- Il decreto di recepimento della Direttiva UE in materia di trattamento dei dati personali da parte delle autorità competenti in ambito penale - 4 Giugno 2018
- La valutazione di impatto sulla protezione dei dati - 12 Maggio 2018