Il seguente testo non equivale in alcun modo a una consulenza legale. È stato redatto per fini di studio durante la partecipazione a un concorso pubblico ed è stato messo online per gli utenti che stanno facendo altrettanto, fermo restando che occorre sempre fare riferimento a manuali autorevoli.
Il General Data Protection Regulation (acronimo GDPR)1, altrimenti Regolamento UE n. 679/16, è stato redatto nell'aprile 2016 ed è entrato in vigore a maggio 2018. Formato da 99 articoli divisi in 11 Capi, il GDPR attribuisce diritti a tutti gli individui, a prescindere dalla loro nazionalità o dalla loro residenza (preambolo, 2° considerando), ponendo obblighi in capo ad aziende, autorità o enti pubblici.
1.0. Cos'è il GDPR
Il GDPR ha lo scopo di regolamentare le procedure di archiviazione, utilizzo e trasferimento dei dati personali, lì dove raccolti e trattati da aziende (di tutte le dimensioni), autorità o enti pubblici, che operino nello Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda)2.
Richiamandosi al diritto fondamentale di ogni persona alla protezione dei dati di carattere personale (art. 8 para. 1, Carta dei diritti fondamentali dell'UE; art. 16, para. 1, Trattato sul funzionamento dell'UE), il GDPR ha creato un quadro giuridico consolidato per la protezione dei dati in tutti gli Stati del SEE, focalizzandosi in particolare:
Sulla tutela dei dati personali delle persone fisiche;
Sul trasferimento di dati personali verso Paesi non appartenenti al SEE, o comunque non ritenuti conformi ai principi GDPR.
Il GDPR sostituisce la Direttiva sulla protezione dei dati (DPD) dell'UE del 1995.
2.0. GDPR: a chi si applica?
Il GDPR pone obblighi in capo a quelle persone fisiche e giuridiche (da qui in poi “titolare del trattamento”) che operano nel SEE e che – nell'esercizio di un'attività commerciale o professionale e indipendentemente dal coinvolgimento di un pagamento (art. 3 para. 2 lettera a) – raccolgono, archiviano o trattano i dati di una persona fisica che si trovi in UE (art. 3 para. 2). Infatti, il GDPR riconosce proprio alla persona fisica soggetta al trattamento dei dati una serie di diritti. Oltre che ai residenti UE, come si sostiene nel preambolo del GDPR, i medesimi diritti dovrebbero essere garantiti a qualsiasi persona fisica, a prescindere dalla sua nazionalità o residenza (preambolo, 2° e 14° considerando), e purché non sia deceduta (preambolo, 27° considerando).
In questo senso, gli obblighi imposti dal GDPR si applicano:
Al titolare del trattamento al di fuori del SEE che nell'esercizio di un'attività commerciale o professionale tratta i dati personali di cittadini o residenti del SEE.
Al titolare del trattamento all'interno del SEE che nell'esercizio di un'attività commerciale o professionale tratta i dati personali di cittadini anche stranieri.
Va inoltre precisato che una serie di articoli del GDPR consentono deroghe ai sensi del diritto nazionale (cd “clausole di apertura”). Un esempio a quanto detto è riscontrabile nell'art. 6, para. 1, lettere c ed e, dove si consente agli Stati membri di stabilire requisiti più specifici per alcune delle basi giuridiche relative al trattamento dei dati.
2.1. A chi NON si applica il GDPR
Il GDPR non contempla la tutela dei dati inerenti aziende, enti e autorità pubbliche, lì dove afferma che “non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto” (preambolo, 14° considerando). Inoltre, il GDPR non si applica “al trattamento di dati personali effettuato da una persona fisica nell'ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un'attività commerciale o professionale” (preambolo, 18° considerando).
 |
| GDPR, mappa concettuale |
3.0. Dove si applica il GDPR
Il GDPR, così come altre leggi UE, utilizza il termine “Unione” in riferimento allo spazio geografico di applicabilità del GDPR stesso. Tuttavia i territori dove vigono le disposizioni GDPR sono i paesi dello Spazio Economico Europeo (SEE, cioè i 27 Stati membri dell'UE, oltre a Norvegia, Liechtenstein e Islanda), e può applicarsi ai territori d'oltremare degli Stati UE, anche se i dettagli variano in base al territorio.
Per un'argomentazione più approfondita in merito, leggi: L'ambito “territoriale” del GDPR all'art. 3.
3.1. Il GDPR si applica solo su internet?
No. Il GDPR non riguarda specificatamente internet ma lo include. Infatti, il GDPR riguarda la protezione dei dati in generale e ciò vuol dire che si applica a tutti i livelli di esistenza, online quanto offline. Si pensi all'ottobre 2020, quando una nota azienda di abbigliamento riceveva una multa di 35,3 milioni di euro per aver condotto un'ampia sorveglianza dei propri dipendenti presso uno dei suoi centro servizi3. Ciò includeva "colloqui informali" durante i quali i supervisori raccoglievano dati inerenti questioni religiose e familiari dei dipendenti. Le informazioni private venivano quindi archiviate con lo scopo di creare un profilo del dipendente da utilizzare nelle decisioni da adottare in ambito lavorativo nei confronti di quest'ultimo.
4.0. Quali tipi di dati protegge il GDPR
Il GDPR si applica specificatamente alla tutela dei dati inerenti le persone fisiche e, più in particolare, si concentra sui cd “dati personali” di queste. Ai sensi del GDPR, i dati personali sono tutte quelle informazioni che, da sole o combinate, consentono di individuare l'identità di un soggetto. Pertanto sono qualificabili come dati personali, ex art 4. para. 1 del Regolamento: nome e cognome, indirizzo (sia email che fisico), numero di carta di credito, dati inerenti l'ubicazione del soggetto (anche geolocalizzanti), identificativo online o, anche, dati relativi a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
5.0. I diritti dell'interessato (persone fisiche)
Il Capo 3 del GDPR individua negli artt. 12-22 una serie di diritti spettanti a qualsiasi individuo soggetto al trattamento dei propri dati personali (da qui in poi “interessato”). Questi sono:
Il diritto di avere una informazione chiara e trasparente (art. 12) solo attraverso la quale l'interessato può esercitare pienamente e consapevolmente i propri diritti;
Il diritto a essere informato (artt. 13 e 14) su diversi aspetti inerenti la richiesta dei propri dati, tra cui le finalità del trattamento e il periodo di conservazione degli stessi;
Il diritto di accesso (art. 15) a quei propri dati personali trattati;
Il diritto alla rettifica (art. 16), cioè il diritto a ottenere la correzione dei propri dati lì dove siano inesatti;
Il diritto alla cancellazione (“diritto all'oblio”, art. 17) e di limitazione di trattamento (art. 18) con obbligo di notifica in capo al titolare del trattamento (art. 19);
Il diritto alla portabilità dei dati (art. 20), cioè il diritto di ottenere i dati personali che lo riguardano in un formato consultabile e trasmissibile presso altri titolari del trattamento;
Il diritto di opposizione (art. 21) al trattamento dei dati, che può essere esercitato in qualsiasi momento;
Il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (art. 22).
6.0. Le autorità di controllo
Ai sensi dell’art. 8, para. 3, della Carta dei diritti fondamentali dell’Unione europea4, il GDPR prevede che gli Stati debbano istituire una o più autorità pubbliche indipendenti (art. 51 para. 1), altrimenti dette autorità di controllo. L'autorità di controllo “contribuisce alla coerente applicazione del presente regolamento in tutta l'Unione” (art. 51 para. 2) agendo “in piena indipendenza” (art. 52 para. 1) e i cui membri “per tutta la durata del mandato non possono esercitare alcuna altra attività incompatibile [con le loro funzioni], remunerata o meno” (art. 52 para. 3).
In Italia, l'autorità di controllo istituita con l. 675/1996 (cd “legge sulla privacy”)5 e che oggi opera in conformità al GDPR è il Garante per la protezione dei dati personali, altrimenti noto come Garante della privacy.
1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), pubblicato sulla Gazzetta ufficiale dell'Unione europea il 4 maggio 2016 e consultabile in lingua italiana al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679#d1e1384-1-1 [accesso 3 febbraio 2023]
2 Cfr. ‘Adequacy Decisions’ <https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en> accesso 3 febbraio 2023.
3 ‘Hamburg Commissioner Fines H&M 35.3 Million Euro for Data Protection Violations in Service Centre | European Data Protection Board’ <https://edpb.europa.eu/news/national-news/2020/hamburg-commissioner-fines-hm-353-million-euro-data-protection-violations_en> accesso 3 febbraio 2023.
4 ‘La protezione dei dati nell’UE’ (4 giugno 2021) <https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_it> accesso 3 febbraio 2023.
5 Legge 31 dicembre 1996, n. 675, pubblicata nella Gazzetta Ufficiale della Repubblica italiana n. 5 in data 8 gennaio 1997, Supplemento Ordinario n. 3, e consultabile al seguente link: https://www.gazzettaufficiale.it/eli/id/1997/01/08/097G0004/sg [accesso 3 febbraio 2023]
Link del post: