Dati personali, entrato in vigore il Regolamento UE n. 679/2016

A partire dallo scorso 25 maggio sono entrate in vigore le nuove regole stabilite dalla Comunità Europea nel campo della protezione dei dati personali le quali si applicano direttamente a tutti gli Stati membri dell’UE compresa la Romania.

Il regolamento generale europeo sulla protezione dei dati, GDPR – General Data Protection Regulation n. 679 – è stato pubblicato nella Gazzetta Ufficiale dell’UE il 4 maggio del 2016 ed è entrato in vigore nello stesso mese; tuttavia l’effettiva applicazione, in tutti gli Stati membri dell’UE, quindi anche in Romania, si è avuta solo dallo scorso 25 maggio 2018.

Il regolamento in esame è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri“, è riportato nel testo legislativo. In particolare, a differenza delle direttive europee, le quali per essere efficaci a livello nazionale devono essere recepite da leggi o da ordinanze, i regolamenti comunitari si applicano direttamente a tutti gli Stati membri dell’UE senza la necessità di alcuna formalità da parte delle autorità nazionali.

Inoltre, va sottolineato che non ci saranno norme per l’attuazione del regolamento, come talvolta accade in Romania nel caso di leggi o di ordinanze comunitarie. In pratica l’entrata in vigore del GDPR coincide con l’implicita abrogazione della legge n. 677/2001 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.

Dallo scorso 25 maggio 2018 il GDPR è divenuto la legge quadro e la normativa di riferimento per il trattamento dei dati personali che ogni operatore deve conoscere, applicare e rispettare; operatori di dati personali sono considerati le persone fisiche o giuridiche, gli enti pubblici, le agenzie private o gli altri istituti che, da soli o con altri, determinano le finalità ed i mezzi per il trattamento dei dati personali.

Per quanto riguarda i dati personali il GDPR prevede che tali sono “le informazioni relative ad una persona fisica identificata o identificabile; persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, facendo riferimento ad un particolare elemento identificativo come un nome, un numero di identificazione, ai dati relativi all’ubicazione, ad un indice online oppure da uno o più elementi specifici che possono essere fisici, fisiologici, genetici, psicologici, economici, culturali o sociali“.

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione UE, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo. Sostanzialmente si tratta di una risposta, necessaria ed urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dell’UE.

In sintesi con il GDPR:

  • si introducono regole più chiare sull’informativa e sul consenso;
  • vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • sono poste le basi per l’esercizio di nuovi diritti;
  • si stabiliscono criteri rigorosi per il trasferimento degli stessi al di fuori dell’UE;
  • sono fissate norme rigorose per i casi di violazione dei dati (data breach).

Le norme si applicano anche alle imprese situate fuori dall’Unione Europea che offrono servizi o prodotti all’interno del mercato comunitario. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle norme rischiano pesanti sanzioni.

L’inosservanza delle nuove norme sulla protezione dei dati da parte degli operatori può comportare l’irrogazione di ammende fino a 20 milioni di euro o, nel caso di un’entità economica, fino al 4% del fatturato totale annuo realizzato nel precedente esercizio finanziario.

 

Avv. Salvatore Romano, Studio Legale Sitran