Il regolamento generale sulla protezione dei dati (GDPR) protegge le persone quando i loro dati sono trattati dal settore privato e dalla maggior parte del settore pubblico. Il trattamento dei dati da parte delle autorità competenti ai fini dell’applicazione della legge è invece soggetto alla direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (LED) (si veda la sintesi).
Consente alle persone di avere un maggiore controllo sui loro dati personali. Modernizza e unifica le norme che consentono alle aziende di ridurre la burocrazia e di godere di una maggiore fiducia da parte dei consumatori.
Istituisce un sistema di autorità di controllo completamente indipendenti incaricate di monitorare e garantire il rispetto delle norme.
Fa parte della riforma della protezione dei dati dell’Unione europea (Unione), insieme alla direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie e al regolamento (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione (si veda la sintesi).
PUNTI CHIAVE
Diritti delle persone
Il GDPR rafforza i diritti esistenti, prevede nuovi diritti e dà alle persone un maggiore controllo sui loro dati personali. Esso prevede:
un migliore accesso ai propri dati, compresa la fornitura di maggiori informazioni su come i dati vengono trattati e la garanzia che tali informazioni siano chiare e comprensibili;
un nuovo diritto alla portabilità dei dati, che agevola la trasmissione dei dati personali tra prestatori di servizi;
un più chiaro diritto alla cancellazione (diritto all’oblio). Quando un soggetto non vuole più che i suoi dati vengano trattati e non vi è alcuna ragione legittima per conservarli, i dati saranno cancellati;
il diritto di sapere se i propri dati personali sono stati violati. Le aziende e le organizzazioni sono tenute a informare l’autorità di controllo competente in materia di protezione dei dati e, in caso di violazione dei dati grave, anche gli interessati.
Regole per le imprese
Il GDPR crea condizioni di parità per tutte le aziende che operano nel mercato interno dell’Unione, adotta un approccio neutrale dal punto di vista tecnologico e stimola l’innovazione attraverso una serie di passi, tra cui:
un unico complesso di norme a livello di Unione. Una sola legge per la protezione dei dati a livello di Unione rafforza la certezza del diritto e riduce gli oneri amministrativi;
un responsabile della protezione dei dati. Le autorità pubbliche e le imprese che trattano dati su larga scala o la cui attività principale è il trattamento di categorie speciali di dati, come i dati relativi alla salute, devono designare una persona responsabile della protezione dei dati;
uno sportello unico. Le imprese devono confrontarsi con una sola autorità di controllo (nello Stato membro dell’Unione in cui hanno il loro stabilimento principale); le autorità di controllo pertinenti cooperano nel quadro del comitato europeo per la protezione dei dati per i casi transfrontalieri;
norme dell’Unione per le aziende extra unionali. Le aziende con sede al di fuori dell’Unione devono applicare le stesse norme quando offrono servizi o beni, o quando monitorano i comportamenti delle persone all’interno dell’Unione;
norme favorevoli all’innovazione. Una garanzia del fatto che la protezione dei dati sia incorporata nei prodotti e nei servizi fin dalle primissime fasi di sviluppo (protezione dei dati fin dalla progettazione e per impostazione predefinita);
tecniche rispettose della privacy. È incoraggiato ad esempio il ricorso alla pseudonimizzazione (quando i campi identificativi all’interno di un set di dati sono sostituiti da uno o più identificatori artificiali) e alla cifratura (quando i dati sono codificati in modo tale che possano leggerli solo gli utenti autorizzati), al fine di limitare l’invasività del trattamento;
eliminazione delle notifiche. Il GDPR ha eliminato la maggior parte degli obblighi di notifica e i costi ad essi associati. Uno degli obiettivi è quello di rimuovere gli ostacoli che condizionano la libera circolazione dei dati personali all’interno dell’Unione. In questo modo, per le aziende sarà più facile espandersi nel mercato unico digitale;
valutazioni d’impatto sulla protezione dei dati. Le organizzazioni dovranno effettuare valutazioni d’impatto qualora il trattamento dei dati presentasse un rischio elevato per i diritti e le libertà delle persone;
tenuta dei registri. Le piccole e medie imprese non sono tenute alla registrazione delle attività di trattamento dei dati, a meno che il trattamento sia abituale o possa comportare un rischio per i diritti e le libertà della persona i cui dati sono in fase di elaborazione o riguardi categorie di dati sensibili;
un moderno pacchetto di strumenti per il trasferimento internazionale dei dati. Il GDPR offre vari strumenti per trasferire i dati al di fuori dell’Unione, tra cui le decisioni in materia di adeguatezza adottate dalla Commissione europea laddove il paese terzo offra un adeguato livello di protezione, clausole contrattuali (tipo) pre-approvate, norme vincolanti d’impresa, codici di condotta e certificazione.
Riesame
La Commissione europea ha presentato una relazione sulla valutazione e la revisione del regolamento a giugno 2020. La prossima valutazione è prevista per il 2024.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del , relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (GU L 119 del , pag. 1).
Le modifiche successive al regolamento (UE) 2016/679 sono state integrate nel testo originale. La versione consolidata ha esclusivamente valore documentale.
DOCUMENTI CORRELATI
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del , relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del , pag. 89).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del , sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del , pag. 39).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del , relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del , pag. 37).