• Regolamento (UE) 2016/679
• General Data Protection Regulation
• right to be forgotten
• diritto all’oblio
• sentenza Google Spain
• Nuovo Pacchetto europeo sulla protezione dei dati
• One-stop-shop
• Data Protection Officer
• data breach
• privacy by default
• privacy by design
• diritto alla portabilità dei dati
• right to data protection
• diritto alla protezione dei dati personali
• diritto alla vita privata
• diritto alla privacy
• Articolo 8 Carta di Nizza
• Articolo 7 Carta di Nizza
• diritto alla cancellazione
• Direttiva 95/46/CE
• Direttiva (UE) 2016/680
• GDPR
• Decisione quadro 2008/977/GAI
• Convenzione 108
• Articolo 8 CEDU

Il 4 maggio 2016 viene pubblicato sulla Gazzetta Ufficiale dell’Unione europea il Nuovo Pacchetto europeo sulla protezione dei dati personali, che comprende il Regolamento 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, e la Direttiva 2016/680 “relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati”. Il Regolamento, che sostituisce la Direttiva 95/46/CE, entra in vigore il 24 maggio 2016 e sarà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018; la Direttiva, che sostituisce la Decisione quadro 2008/977/GAI, entra in vigore il 5 maggio 2016 e dovrà essere recepita dai Paesi UE entro il 6 maggio 2018.
L’adozione di tale Pacchetto viene ritenuta necessaria poiché la disciplina attualmente ancora in vigore non armonizza a sufficienza le legislazioni nazionali in materia, non elimina l’incertezza giuridica, né è in grado di fronteggiare le nuove sfide lanciate dalla globalizzazione e dagli incalzanti sviluppi tecnologici. Il Regolamento e la Direttiva hanno dunque l’obiettivo di instaurare un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione, che possa consentire lo sviluppo dell’economia digitale nel mercato interno, garantire agli individui il controllo dei loro dati personali, rafforzare la certezza giuridica e ridurre al minimo gli oneri amministrativi a beneficio delle imprese.

La presente trattazione risalirà fino alle origini delle due fonti in esame, soprattutto del Regolamento, analizzando i precedenti strumenti di diritto internazionale e comunitario/dell’Unione europea in materia: tra i primi, figurano le Linee guida dell’OCSE (1980) e la Convenzione 108 del Consiglio d’Europa (1981); tra i secondi, specialmente la Direttiva 95/46/CE. Molti principi, diritti e istituti che si affermano e si evolvono grazie agli strumenti giuridici sopramenzionati, confluiscono infatti nel Regolamento 2016/679 (e nella Direttiva 2016/680), dove appaiono rafforzati e disciplinati in modo più preciso e dettagliato.
Ma verranno messe in evidenza anche alcune differenze molto rilevanti rispetto al quadro giuridico preesistente. Innanzi tutto, nella Convenzione 108 e nella Direttiva 95/46/CE la protezione dei dati personali è funzionale alla tutela, in generale, dei diritti e delle libertà fondamentali, ma in particolare del diritto alla “privacy”; quest’ultimo è definito come “riconosciuto anche dall’Articolo 8” della CEDU, e quindi equivalente al diritto alla “vita privata”. Nel Regolamento 2016/679, invece, il diritto alla “privacy” viene completamente sostituito con il diritto alla “protezione dei dati personali”. Ciò determina un significativo mutamento di approccio: la tutela non è più “statica”, “negativa”. Al contrario si concretizza in poteri di controllo e di intervento: una tutela “dinamica”, che segue i dati nella loro circolazione. Tuttavia, tale cambiamento non viene pienamente percepito, neanche negli ambienti giuridici: il Regolamento viene quasi unanimemente considerato come uno strumento in materia di “privacy”, mentre il diritto “alla protezione dei dati personali” fatica ancora ad emergere.
Successivamente, saranno prese in esame le altre novità della riforma. Il Pacchetto, infatti, introduce nuove nozioni, come quelle di “dati genetici” e “dati biometrici”; nuovi principi, come quello di “trasparenza”; nuovi diritti, come il diritto “alla portabilità dei dati”; nuovi obblighi in capo al titolare del trattamento, come la “protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”; nuove figure soggettive, come il Data Protection Officer (DPO); nuove regole in materia di autorità di controllo nazionali, come lo Sportello unico. Muta anche l’ambito di applicazione territoriale. E alcuni di questi cambiamenti avranno sulle imprese un impatto davvero molto significativo.

L’ultima parte della trattazione riguarderà poi la novità del Regolamento 2016/679 che, senza dubbio, ha dato luogo al dibattito più acceso: il “diritto all’oblio” dell’Articolo 17. Verrà messo in evidenza come tale norma rappresenti un elemento decisamente innovativo rispetto alla corrispondente disposizione della Direttiva 95/46/CE, ovverosia l’Articolo 12 lettera b); d’altro canto, si tratta di un vero e proprio passo indietro rispetto alla sentenza “Google Spain” della Corte di giustizia, risalente a due anni prima (13 maggio 2014): tale pronuncia, anche se caratterizzata da innumerevoli criticità, accorda alla persona interessata una protezione sicuramente superiore a quella garantita dal Regolamento, tutelando il diritto all’oblio in modo amplissimo. In conclusione, anche lo stesso utilizzo dell’espressione “diritto all’oblio” verrà definito come inutile: sarebbe stato più opportuno far riferimento soltanto al tradizionale “diritto alla cancellazione”.