Sono stati pubblicati, sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) n. L 118 del 4 maggio 2016, i testi del Regolamento europeo 2016/679, in materia di protezione dei dati personali, e della Direttiva 2016/680,che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Si tratta del passaggio finale per l’entrata in vigore del nuovo “Pacchetto protezione dati”, l’insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’Unione europea.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), sarà vigente a decorrere dal 24 maggio 2016, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.

Entro il medesimo termine, professionisti ed imprese dovranno adattare i propri modelli organizzativi alle nuove prescrizioni onde evitare di incorrere in pesanti sanzioni economiche, quando non in responsabilità di natura penale.

Il Regolamento è articolato in undici Capi e 99 articoli, che disciplinano la struttura e l’articolazione dei soggetti deputati al controllo, i diritti degli interessati, gli obblighi del Titolare e del Responsabile del trattamento, e, infine, l’apparato sanzionatorio per i casi di violazione delle norme regolamentari e di quelle nazionali di recepimento del regolamento stesso.

La direttiva 95/46/CE è abrogata a decorrere da 25 maggio 2018 (art. 94, comma 1).

Tra le novità introdotte dal regolamento vi è l’obbligo per i soggetti pubblici e, in talune circostanze, per i soggetti privati di nominare il responsabile della protezione dei dati (art. 37). Tale soggetto ha il compito di fornire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti circa gli obblighi derivanti dal regolamento, nonché di sorvegliare sulla sua osservanza. Il responsabile della protezione dei dati coopera con l’autorità di controllo e funge da punto di contatto con essa.

Inoltre il regolamento introduce nuovi adempimenti per i titolari del trattamento. In particolare ogni titolare ha l’obbligo di tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30) e di effettuare una valutazione di impatto sulla protezione dei dati (art. 35). Quest’ultima è richiesta ad esempio per i trattamenti automatizzati, compresa la profilazione, per i trattamenti su larga scala di categorie particolari di dati e per la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito della valutazione di impatto sulla protezione dei dati.

Infine per quanto riguarda il sistema sanzionatorio, il regolamento aumenta l’ammontare delle sanzioni amministrative pecuniarie che possono arrivare fino a 20 milioni di euro o per le imprese fino al 4% del fatturato mondiale totale (articolo 83). Inoltre ogni Stato membro potrà adottare norme relative a altre sanzioni per le violazioni delle disposizione del regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie (art. 84).

Entro il 25 maggio 2020 e, successivamente, ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio relazioni di valutazione e sul riesame del presente regolamento (art. 97, comma 1).

La Direttiva 2016/680 del Parlamento e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, sarà invece vigente a decorrere dal 5 maggio 2016, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni.