Estratto dall’articolo pubblicato su LA CIRCOLARE DI LAVORO E PREVIDENZA del 23 giugno 2016, rivista edita dal Gruppo Euroconference.
Per leggere l’articolo originale clicca QUI
INTRODUZIONE
Il 4 maggio 2016 è stato pubblicato il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE.
Si tratta del Regolamento generale sulla protezione dei dati personali, ossia del c.d. Regolamento privacy europeo.
Il Regolamento armonizza – rectius, cerca di armonizzare – la disciplina della protezione dei dati personali che a livello comunitario era stata dettata appunto dalla Direttiva 95/46/CE, variamente trasposta nei diversi Stati membri dell’Unione.
Per quanto riguarda l’Italia sappiamo che la materia era stata dapprima governata dalla non troppo felice L. n.675/96, quindi dal D.Lgs. n.196/03, c.d. Codice privacy, entrato definitivamente in vigore a colpi di proroghe nell’arco dei successivi due anni.
Come si intuisce, da un lato la disciplina della protezione dei dati personali a livello comunitario era dettata nei vari Stati membri da normative che, pur operanti sotto l’ombra formale della medesima direttiva 95/46/CE, spesso invece presentavano sfumature, anche rilevanti, che le distinguevano tra di loro e creavano dei solchi tra Stato e Stato; dall’altro era divenuta sempre più anacronistica solo raffrontando il dato testuale con l’esponenziale sviluppo delle tecnologie di comunicazione, in primissimo luogo di internet e delle tecnologie mobile.
Si consideri inoltre come negli ultimi tempi la Corte di Giustizia fosse intervenuta con pronunce strategiche nei delicati temi del trattamento dei dati personali da parte dei motori di ricerca in relazione al c.d. diritto all’oblio (caso Costeja Gonzalez/Google Spain) e nel trasferimento dei dati personali al di fuori dell’Unione (in primis verso gli Usa), sostanzialmente sancendo l’illegittimità del c.d. regime del Safe Harbor, ossia di quel regime di “autocertificazione” per cui determinati sistemi nazionali extraeuropei potevano attestare che i propri operatori (ad esempio le società statunitensi) operassero autoconformando le proprie condotte a una disciplina analoga a quella comunitaria in tema di privacy.
Ancora, l’introduzione della riforma sui cookie, ossia sui file di testo che vengano a installarsi sui dispositivi degli utenti durante la navigazione web e che permettono una serie di tracciature (da quelle più semplici, di natura tecnica, a quelle statistiche, a quelle di una vera e propria profilazione commerciale), nell’ultimo paio d’anni aveva ulteriormente fatto irruzione nel sistema europeo (per l’Italia con la riforma dell’art.122 del Codice privacy, in vigore dal 2 giugno 2015).
A livello comunitario non era quindi più possibile affidarsi unicamente a una direttiva (cioè a uno strumento normativo di non diretta applicazione, ma richiedente la trasposizione nei singoli Stati), soprattutto nel momento in cui il sistema sociale stesso, in particolare nella c.d. società dell’informazione (internet e nuove tecnologie in genere), stava mutando e venendo a configurare ormai un unicum territorialmente inscindibile (internet è per definizione a-territoriale), per cui era divenuta ormai impellente l’adozione di una nuova disciplina uniforme e in particolare di diretta applicazione: appunto il Regolamento.