In data 18 dicembre 2015 il COREPER ha approvato il testo del compromesso finale del Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, frutto dei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione.
Prende così vita la tanto attesa riforma in materia di protezione dei dati personali, i cui primi passi risalgono alla Proposta della Commissione europea di Gennaio 2012. Da allora sono trascorsi quattro anni di intenso lavoro delle istituzioni europee, determinate a conservare il ruolo di prim’ordine conquistato dall’Unione in tale ambito, attraverso l’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale. Il nuovo Regolamento europeo andrà ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo che consentirà, tra l’altro, di porre fine alla corrente frammentazione normativa in materia.
In attesa dell’approvazione definitiva, è interessante esaminare i capisaldi che il Regolamento pone a tutela della protezione dei dati personali contestualizzata nell’ambiente di Internet.
Particolare attenzione è dedicata ai diritti degli interessati in un’ottica di rafforzamento e conferimento di un maggior potere di controllo sui propri dati personali circolanti nella Rete: sono da segnalare il diritto di rettifica dei dati, il diritto all’oblio, il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze, il diritto alla portabilità dei dati e il diritto ad opporsi a determinati trattamenti.
I controllers (titolari del trattamento) vengono maggiormente responsabilizzati, dovendo predisporre misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento e dovendo obbligatoriamente comunicare alle autorità e agli interessati i c.d. data breaches, ossia le violazioni dei dati avvenute durante tali operazioni.
Un secondo ordine di controlli viene affidato alle figure del Data Protection Officer (già previsto, a livello europeo, dal Reg. UE n. 44/2001) e di una supervisory authority indipendente a livello nazionale, poste a presidio del rispetto dei diritti dei cittadini e a garanzia della conformità delle operazioni di trattamento alle disposizioni del Regolamento. Al fine di coordinare l’azione delle Autorità di vigilanza nazionali sarà poi istituito il Comitato europeo per la protezione dei dati, che assicurerà a sua volta il funzionamento di meccanismi di mutua assistenza.
Infine, la legittimità dei trasferimenti di dati verso Paesi extra-UE sarà subordinata ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze.
Giusella Finocchiaro
Laura Greco
Aggiungi commento