Lo scorso 4 maggio è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo “Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (il “Regolamento”). Il Regolamento è entrato in vigore il 24 maggio e si applicherà a decorrere dal 25 maggio 2018, data a partire dalla quale dovrà essere necessariamente garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dei dati e le disposizioni del Regolamento.

1. Via Rasella, 155 - 00187 Roma Via dell’Orso, 2 - 20121 Milano
Tel +39 06 696661 Fax +39 06 69666544 Tel +39 02 722341 Fax +39 02 72234545
È in vigore il nuovo Regolamento Generale sulla Protezione dei Dati
Laura Liguori
Lo scorso 4 maggio è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo “Regolamento
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla
libera circolazione di tali dati” (il “Regolamento”).
Il Regolamento è entrato in vigore il 24 maggio e si applicherà a decorrere dal 25 maggio 2018, data a
partire dalla quale dovrà essere necessariamente garantito il perfetto allineamento fra la normativa
nazionale in materia di protezione dei dati e le disposizioni del Regolamento.
Come noto, il Regolamento abroga la Direttiva 95/46/CE (la “Direttiva Privacy”), attuata in Italia prima con
la legge 675/96 e successivamente con il D.lgs. 196/2003, e si applicherà direttamente in tutti gli Stati
Membri senza necessità di un intervento legislativo dei medesimi a tal fine.
I motivi dell’adozione di un Regolamento
Lo strumento del regolamento è stato utilizzato proprio per far fronte alle critiche che, negli anni, sono
sempre state mosse alla Direttiva Privacy, che invece, in quanto “direttiva”, è stata attuata con sostanziali
differenze nei vari Stati Membri dell’Unione Europea. Come facilmente intuibile, questo ha di fatto
determinato una scarsa armonizzazione tra le normative dei vari Stati Membri e per tanto il 25 gennaio del
2012 la Commissione Europea ha proposto una sua bozza di Regolamento, che è stata oggetto di analisi e
discussione tra le Istituzioni europee negli ultimi sei anni, fino alla sua definitiva approvazione lo scorso 14
aprile.
La Direttiva Privacy fu adottata quando Internet non era ancora molto diffuso; per non parlare poi dei social
network, delle app o dell’Internet of Things (l’Internet delle cose – cioè la possibilità per oggetti comuni di
essere connessi a Internet e raccogliere enormi quantità di dati relativi ai comportamenti e alle abitudini
delle persone) che nemmeno esistevano. Le tecnologie che si sono diffuse negli ultimi anni e la
internazionalizzazione dei flussi di dati hanno significativamente aumentato il rischio per gli individui di
diminuire o perdere il controllo sui propri dati.
Ebbene: il Regolamento cerca di dare risposte ad alcune di queste sfide, anche se naturalmente non
mancano i dubbi interpretativi.
Ambito di applicazione
Il Regolamento si applica a tutti i trattamenti che siano effettuati da un titolare stabilito nel territorio
dell’Unione Europea, nonché da tutti i soggetti (titolari o responsabili) stabiliti fuori dall’Unione Europea nel
caso in cui il trattamento abbia ad oggetto i dati personali di interessati che si trovano nell’Unione Europea
e riguardi l’offerta di beni o servizi, indipendentemente dalla obbligatorietà del pagamento, o il
monitoraggio di comportamenti che hanno luogo nell’Unione.

2. 2/2
Si supera quindi il criterio dell’esistenza di “strumenti, automatizzati o non automatizzati” situati
nell’Unione Europea attraverso il quale si stabiliva l’ambito di applicazione delle leggi nazionali (art. 4, par.
1, lett. c) della Direttiva Privacy).
Questo significa, dunque, che tutti gli operatori di siti o app che offrono beni o servizi nell’UE o funzionalità
in grado di monitorare i comportamenti di navigazione o l’utilizzo di determinati servizi da parte di persone
fisiche che si trovano nell’Unione Europea saranno soggetti al Regolamento indipendentemente dall’uso,
da parte di questi operatori, di strumenti situati nell’Unione.
Alcune novità
Il Regolamento introduce anche una serie di obblighi nuovi per le imprese che trattano dati personali, in
un’ottica di maggiore tutela per gli interessati. Vanno in questa direzione l’obbligo di protezione dei dati fin
dalla progettazione (“Privacy by Design”) e di protezione per impostazione predefinita (“Privacy by
Default”).
L’informativa e il consenso espresso dell’interessato restano i principi cardine per la protezione dei dati
personali, se pure con alcune specificazioni: ad esempio, nel caso in cui esista un processo decisionale
automatizzato che riguardi l’interessato (ad esempio in caso di profilazione) l’informativa dovrà contenere
anche i dettagli sulla logica utilizzata e le conseguenze di tale trattamento per l’interessato.
Il Regolamento contiene previsioni sul diritto degli interessati di accesso e rettifica dei dati personali che li
riguardano, e introduce nuovi diritti che non erano previsti espressamente dalla Direttiva – come, ad
esempio:
 il diritto alla cancellazione (detto anche diritto all’oblio, e cioè ad ottenere che i dati siano cancellati
senza ritardo se non sono più necessari per le finalità per i quali sono stati raccolti o trattati oppure
in caso di revoca del consenso); e
 il diritto alla portabilità dei dati (vale a dire il diritto a ricevere i dati forniti a un titolare in un
formato di uso comune e leggibile al fine di trasmetterli ad altro titolare senza impedimenti da
parte del precedente titolare).
Conclusioni
Le imprese che trattano dati personali avranno due anni per adeguarsi ad una nuova normativa che si
inserisce su quella esistente, la quale, a meno che non sia oggetto di una specifica abrogazione, continuerà
ad esistere ed essere applicabile.
Nei prossimi mesi lo sforzo sarà quello di prepararsi a queste nuove previsioni e dissipare i dubbi
interpretativi dovuti alla coesistenza di norme diverse che regolano gli stessi fenomeni, anche tenendo
conto dei numerosi provvedimenti adottati dal Garante nei venti anni di protezione dei dati personali in
Italia.