Perché bisogna conoscere il GDPR? Quale è la sua funzione? E cosa è cambiato con esso in materia privacy?

 

La funzione del GDPR

Il GDPR, acronimo che sta per General Data Protection Regulation (traducibile in italiano con Regolamento Generale sulla Protezione dei Dati), è un regolamento europeo[1] contenente disposizioni in tema privacy.

Più precisamente, il GDPR assicura la tutela delle persone fisiche con riguardo al trattamento dei dati personali[2] e alla libera circolazione di tali dati. Il GDPR contiene norme relative alla protezione delle persone fisiche quando i loro dati personali sono trattati e norme sulla libera circolazione dei dati personali, come sottolineato nell’articolo 1, paragrafo 1, GDPR[3].

L’articolo 1, paragrafo 2, del GDPR prevede che il GDPR mira a proteggere i diritti e le libertà fondamentali delle persone fisiche e, più specificamente, il loro diritto alla protezione dei dati personali (right to the protection of personal data). Significa che, in quanto tale, il regolamento non riguarda i diritti e le libertà delle persone giuridiche, come le società.

Il GDPR entra in vigore il 24 maggio 2016 ma diventa vincolante e direttamente applicabile in tutti gli Stati Membri dell’Unione Europea il 25 maggio 2018. Prima del regolamento in questione però, in Europa, la questione della privacy era regolata diversamente.

 

Il pre-GDPR: le proposte fatte dalla Commissione Europea

Per molti anni, al centro del regime di protezione dei dati dell’UE c’erano due direttive:

  • la direttiva del 1995[4] sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati e
  • la decisione quadro del Consiglio del 2008[5] sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia in materia penale.

 

Con il passare del tempo, la Commissione Europea ha iniziato a modificare questo regime. Nel 2012 ha introdotto il pacchetto di riforma della protezione dei dati[6].

La prima proposta del pacchetto di riforma includeva la nuova direttiva sulla protezione dei dati in materia di polizia e giustizia penale[7] che sostituisce la decisione quadro del Consiglio del 2008. Riguarda la protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali e la libera circolazione di tali dati.

La seconda proposta era il GDPR che sostituisce la Direttiva del 1995.

 

Il Regolamento che ha cambiato la privacy: il GDPR

Perché quindi il GDPR è importante? In sostanza, esso modifica le leggi nazionali[8] degli Stati membri dell’UE sulla protezione dei dati.

Da maggio 2018 il Regolamento in questione è applicabile al trattamento dei dati personali da parte di vari attori stabiliti all’interno o all’esterno dell’UE. Questi attori possono essere aziende, amministrazioni locali, supermercati, siti web[9] e qualsiasi altra organizzazione che tratta dati personali.

Il GDPR richiede che coloro che effettuano il trattamento dei dati personali ne rispettino le disposizioni e conferisce importanti diritti alle persone i cui dati personali sono oggetto di trattamento. Sia le persone fisiche che le persone giuridiche (quindi, è bene ripeterlo, aziende, amministrazioni, etc. perché riguarda davvero una miriade di giuridiche) che sono coinvolte nel trattamento sono tenute ad agire in conformità con il GDPR. L’eventuale non conformità potrebbe costare loro ingenti somme di denaro e portare a procedimenti giudiziari e danni alla reputazione[10].

Le aziende e gli altri che trattano dati personali possono avere sede al di fuori dell’UE ma, quando trattano dati personali di cittadini o residenti dell’UE, sono tenuti a organizzare le proprie attività in linea con il GDPR. Il regolamento si applica anche a coloro che hanno uno stabilimento nell’UE e sono coinvolti nel trattamento di dati personali. Significa che un gran numero di individui, aziende, autorità pubbliche e altri sono significativamente interessati dal GDPR e devono essere consapevoli della sua complessità e dei suoi requisiti.

 

Conclusione con necessario rinvio

Questo è ovviamente il GDPR in senso ampio: molti altri concetti[11] e principi presenti nel Regolamento meritano approfondimenti più specifici. Spesso infatti, sentendo parlare del GDPR, risulta conveniente parlare generalmente di privacy ma senza conoscere bene cosa è presente nel contenitore di questa materia[12].

Informazioni

General Data Protection Regulation – reperibile nella rete interconnessa

Mandico, M. (2019) Privacy e GDPR : manuale applicativo con esempi e casistiche settoriali, con formulario online. Maggioli (Privacy e GDPR; 10).

https://onlinelibrary.wiley.com/doi/pdf/10.1111/1468-2230.12126

https://curia.europa.eu/juris/document/document_print.jsf?doclang=EN&text=&pageIndex=0&part=1&mode=lst&docid=152065&occ=first&dir=&cid=358745

[1] Su cosa sia un regolamento europeo e, più importante, quali differenze ci siano tra i regolamenti e le direttive rimando all’articolo di Deborah Veraldi: https://www.dirittoconsenso.it/2021/04/07/regolamenti-e-direttive-ue/

[2] Attenzione a non confondere le espressioni “dati personali” con “dati sensibili”. Su quest’ultimi un articolo di Beatrice Berzano che parte da un caso di cronaca: https://www.dirittoconsenso.it/2020/11/13/protezione-dati-sensibili-facciamo-chiarezza/

[3] Testualmente, “This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data.

[4] Documento in lingua inglese: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:31995L0046&from=EN

[5] Documento in lingua inglese: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32008F0977&from=EN

[6] Il pacchetto presentato nel 2012 conteneva interessanti considerazioni sull’uso di internet e su alcuni concetti della privacy, pensiamo anche solamente al “right to be forgotten”, il diritto ad essere dimenicati. Per il comunicato stampa della Commissione si rimanda a: https://ec.europa.eu/commission/presscorner/detail/en/IP_12_46

[7] Documento in lingua inglese: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L0680&from=EN

[8] Il pre-GDPR su DirittoConsenso è stato analizzato da Roberto Giuliani in questo articolo: https://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/

[9] È stato notevole in particolare l’attenzione negli ultimi mesi sulla questione dell’aggiornamento dei termini e dell’informativa privacy di WhatsApp. In particolare, WhatsApp, la più nota app di messaggistica istantanea, acquistata da Facebook, ha elaborato una privacy policy che è diversa per gli utenti europei da quelli extraeuropei. Tutto questo merita attenzione anche grazie all’effettiva funzione e tutela offerta dal GDPR. Più informazioni in questo articolo di Lucrezia Caprio: https://www.dirittoconsenso.it/2021/04/29/aggiornamento-termini-informativa-privacy-whatsapp/

[10] Questo riguarda anche il tema della compliance societaria. Sul tema si rinvia all’articolo di Massimo Pillosu sulla figura professionale del compliance officer: https://www.dirittoconsenso.it/2021/03/25/funzione-compliance-il-compliance-officer/

[11] Pensiamo, solamente per citarne uno, il diritto all’oblio. Per uno sguardo d’insieme sull’Europa rinvio all’articolo di Serena Greco: https://www.dirittoconsenso.it/2021/01/27/diritto-oblio-europa-quando-il-passato-non-passa/

[12] Si rinvia, come ulteriore approfondimento esterno, alla lettura dei dati pubblicati su Eurobarometer dell’Unione Europea per comprendere anche disinformazione, sicurezza su internet, e-markets e buone regole per la privacy