• Normative
• 1 Febbraio 2017

Il Parlamento Europeo, in data 14 aprile 2016, ha definitivamente approvato, dopo un iter legislativo durato quattro anni, il c.d. “Pacchetto protezione dati” che si compone di due diversi strumenti:

• il Regolamento n. 2016/679 concernente la “tutela delle persone fisiche con riguardo al trttamento dei dati personali e la libera circolazione di tali dati”, con il quale trova disciplina il trattamento dei dati personali, sia nel settore privato, sia nel settore pubblico ed è destinato ad abrogare la Direttiva 95/46/CE, che ha portato in Italia all’adozione del vigente D. Lgs 30 giugno 2003 n. 196 (il c.d. Codice Privacy);
  
• la Direttiva n. 2016/680 indirizzata alla “regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali”, che sostituirà la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l’Italia, peraltro, non ha ancora attuato).
  

La pubblicazione del Regolamento n. 2016/679 è avvenuta in data 4 maggio 2016 ed, a partire dal ventesimo giorno successivo alla pubblicazione (24 maggio 2016), gli Stati membri avranno due anni di tempo per garantire il perfetto allineamento della normativa nazionale in materia di protezione di dati personali a quanto previsto e disciplinato con il predetto nuovo Regolamento europeo, che quindi diventerà definitivamente applicabile in tutto il territorio UE a partire dal 25 maggio 2018.

Lo strumento del Regolamento elimina il rischio della frammentazione applicativa della normativa in materia di protezione dei dati personali, frammentazione che invece aveva caratterizzato l’applicazione della precedente Direttiva Privacy, la quale era stata attuata nei vari Stati membri con sostanziali differenze.

Le principali novità introdotte dal Regolamento n. 2016/679 concernono l’ambito di applicazione territoriale della normativa, gli obblighi e le responsabilità che ne derivano, l’introduzione di nuove figure soggettive, i diritti del soggetto interessato e le sanzioni in caso di violazione.

Per quanto concerne l’ambito di applicazione territoriale, il Regolamento n. 2016/679 si pone in maniera innovativa rispetto a quanto precedentemente sancito dalla Direttiva 95/46/CE, in quanto modifica la concezione tradizionale del “principio di stabilimento” già sancito da quest’ultima ed estende l’ambito di applicazione della disciplina da esso introdotta anche a titolari e responsabili del trattamento non residenti nell’UE.

Infatti, il nuovo Regolamento sancisce l’applicabilità della disciplina dettata “indipendentemente dal fatto che il trattamento sia effettuato o meno nll’Unione” e stabilisce l’applicazione delle sue norme anche a Titolari e Responsabili non stabiliti nell’UE che trattino dati personali di persone fisiche che si trovano nell’UE quando il trattamento è in relazione a offerte di beni e servizi, indipendentemente dal fatto che sia richiesto o meno un pagamento ovvero che effettuino attività di monitoraggio sul comportamento di persone fisiche che si trovano nell’UE nella misura in cui tale comportamento avvenga nell’UE.

Per contro, invece l’attuale Direttiva 95/46/CE prevede che la disciplina in materia di tutela di dati personali trovi applicazione, per il tramite delle legislazioni personali, quando il trattamento di dati personali è effettuato “nel contesto delle attività di uno stabilimento del titolare situato nell’UE”.

Sulla base di tale principio, l’art. 5 del D. Lgs 196/2003, c.d. Codice Privacy, tutt’oggi ancora vigente, prevede che le sue norme si applichino “al trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato (italiano) o in luogo comunque soggetto alla sovranità dello Stato (italiano)” e “anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione Europeo se impiega, per il trattemnto, strumenti situati nel territorio dello Stato (italiano) anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione Europea”.

Con l’ampliamento dell’ambito di applicazione il legislatore europeo ha dimostrato così di aver preso in considerazione gli orientamenti delineatisi nella giurisprudenza della Corte di Giustizia Europea (soprattutto a partire dalla sentenza Google Spain) volti ad estendere la normativa europea in materia di tutela dei dati personali anche a casi casi in cui i Titolari sono soggetti non europei e i dati sono trattati principalmente fuori dall’Europa.