Quando nel maggio 2016 entrò in vigore il Regolamento Europeo 679/2016, anche noto come GDPR (General Data Protection Regulation) erano in pochi a scommettere sulla sua portata dirompente.
Oggi, invece, a pochi mesi dalla data fissata per la sua applicazione, la situazione è radicalmente cambiata: imprese private e PA, infatti, per scongiurare il rischio di salate sanzioni, hanno intrapreso una vera e propria maratona nel tentativo di rispettare in tempo gli obblighi previsti dalla nuova normativa europea.
Ma perché il Regolamento GDPR viene definito una “rivoluzione” nel mondo della privacy? Per capirlo occorre fare un passo indietro, provando a rispondere ad alcune domande essenziali.
Qual è lo scopo del GDPR?
Il nuovo regolamento risponde a quattro finalità principali:
- garantire il diritto dei cittadini europei alla protezione dei dati personali;
- assicurare la libera circolazione di tali dati all’interno dell’Unione europea;
- armonizzare le normative nazionali in materia di trattamento dei dati personali;
- rispondere alle nuove sfide poste dallo sviluppo tecnologico.
Cosa disciplina il GDPR privacy?
Il Regolamento Europeo 679/2016 stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché disposizioni riguardanti la libera circolazione di tali dati.
Dal punto di vista materiale il regolamento si applica:
- al trattamento interamente o parzialmente automatizzato di dati personali;
- al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Cosa non regolamenta il GDPR?
Sono esclusi dalla sfera di operatività del nuovo regolamento i trattamenti di dati personali:
- effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
- effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
- effettuati dalle autorità giudiziarie.
Dal punto di vista territoriale, quali sono i confini del GDPR privacy?
Il Regolamento Europeo 679/2016 disciplina:
- il trattamento di dati personali di interessati che si trovano nell’Unione, indipendentemente da dove si trovi il titolare o il responsabile del trattamento;
- il trattamento di dati personali effettuato da parte di un titolare o responsabile del trattamento che sia stabilito nell’Unione, indipendentemente da dove avvenga il trattamento dei dati;
- il trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Che cosa significa questo? Che il nuovo Regolamento Europeo GDPR ha un’efficacia geografica molto estesa: anche le imprese che operano all’esterno dell’Ue, dopo il 25 maggio 2018, dovranno verificare attentamente “come e dove” trattano dati personali e se tali attività comportano l’applicazione del regolamento in questione.