Il regolamento generale sulla protezione dei dati in sigla RGPD (o GDPR in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679, è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.

Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell’Unione europea (UE) e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE.

Il testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’UE) che trattano dati di residenti nell’UE ad osservare e adempiere agli obblighi previsti. Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, ha abrogato gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili.

Obiettivi

“Il regime di protezione dei dati proposto per l’UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di residenti europei a prescindere dal luogo nel quale le trattano e dalla loro sede legale. Permette di armonizzare le diverse normative sulla protezione dei dati in tutta l’UE, facilitando così l’osservanza delle norme da parte delle imprese non europee; tuttavia, questo è stato ottenuto a costo di un regime che prevede una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari.” A seguito di negoziazioni nel dialogo a tre tra Parlamento Europeo, Commissione europea e Consiglio dei Ministri, si è raggiunto un consenso generale sulla formulazione del GDPR e sulle sanzioni finanziarie per la mancata osservanza.

Storia

Pubblicato per la prima volta sulla Harvard Law Review nel dicembre del 1890, The Right to Privacy rappresenta la pietra angolare su cui poggia il GDPR, considerato al giorno d’oggi come il diritto fondamentale su cui si fonda la libertà individuale.

Furono Samuel Warren e Louis Brandies, i due giovani avvocati americani autori del saggio, a definire per la prima volta la privacy come “the right to be let alone”: ovvero, il diritto a essere lasciati soli, a godere del proprio privato.

In Italia non esiste nella Costituzione un articolo che riconosca il diritto alla privacy ma con la sentenza del 38/73 la Corte Costituzionale ha riconosciuto diverse norme che tutelano il diritto alla riservatezza. Possiamo dunque considerare la tutela della riservatezza come discendente per via interpretativa della Costituzione, in particolare dagli articoli 2,3,14,15.

Con l’arrivo del digitale si percepisce l’importanza in Europa di norme che tutelino i dati personali, in particolare la legge 675/96, Codice Privacy successivamente sostituita dalla legge 196/2003 tuttora in vigore.

La rivoluzione arriva con il regolamento GDPR 2016/679.

Contenuto

La proposta per il regolamento generale sulla protezione dei dati presentava alcuni passaggi che non sono stati confermati nella versione definitiva. Considerava, invece, favorevolmente l’introduzione della privacy by design (i requisti privacy devono essere compresi nella progettazione del sistema), la privacy by default (le misure privacy devono essere attuate per impostazione predefinita) e quella del principio del carattere personale dell’indirizzo IP. Ambo i principi sono stati poi recepiti nel regolamento.

Come premessa all’esposizione degli articoli di legge il regolamento contiene un lungo elenco di considerando, anch’essi numerati in sequenza, e citati con “C” seguito dal numero del considerando.

Il regolamento focalizza (GDPR art. 24) il concetto di accountability traducibile in “responsabilizzazione (proattiva)” o, meglio, “(responsabilità di dover) dar conto” da parte del titolare (e dei suoi responsabili/sub-responsabili) all’interessato.

Dopo questa introduzione al GDPR, approfondiremo il discorso degli audit nei prossimi articoli.