Scenario legislativo

L’impiego diffuso di Internet e dei sistemi di intelligenza artificiale da parte di imprese, istituzioni e cittadini, nonché il diffondersi di nuovi modelli economici, basati sull’utilizzo dei dati, accresce il rischio di crimini informatici.

L’acquisizione, l’alterazione o la divulgazione non autorizzata di dati è un pericolo reale. Negli ultimi anni in Europa si sono registrate migliaia di violazioni di dati personali (data breach) e l’Unione europea si è attivata per affrontare la questione.

L’esigenza di garantire un’adeguata tutela della privacy in tutti gli Stati membri ha portato all’emanazione della Direttiva 95/46/CE sulla protezione dei dati, abrogata dal Regolamento UE 679/2016 (GDPR – General Data Protection Regulation), che ha fissato regole armonizzate direttamente applicabili all’interno dell’UE per la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR ha definito le modalità ammesse di raccolta, conservazione, uso, modifica e diffusione dei dati personali, i ruoli, le responsabilità e le sanzioni. Inoltre ha identificato le autorità di controllo e le garanzie dei sistemi di protezione. Le modifiche introdotte puntano su una maggiore responsabilizzazione delle figure coinvolte e mirano a dare maggiore concretezza alle attività di protezione dei dati.

Adottata il 24 ottobre 1995, con l’obiettivo di armonizzare le norme e di favorire la libera circolazione dei dati personali all’interno dell’Unione europea, la Direttiva 95/46/CE impegnava gli Stati membri a mettere in campo, tramite le leggi nazionali di recepimento, una normativa che garantisse un livello elevato e uniforme di tutela dei diritti e delle libertà fondamentali dei cittadini.

La Direttiva 95/46/CE “Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” ha avuto un ruolo fondamentale per gli scambi commerciali, perché ha consentito l’abbattimento delle frontiere all’interno dell’Unione europea, contribuendo a creare le condizioni per la realizzazione del free flow of data al centro dell’agenda europea, come strategia per la creazione del Digital Single Market.

Al di là degli intenti, la Direttiva ha realizzato solo parzialmente l’obiettivo di offrire maggiori garanzie in materia di protezione dei dati personali, in parte a causa delle divergenze tra le leggi nazionali di recepimento – in Italia la Legge 675/1996, poi sostituita dal D.Lgs. 196/2003, recante il “Codice in materia di protezione dei dati personali” – in parte a causa dell’ottica prettamente commerciale, cui si è accompagnata una concezione burocratica della gestione del dato, delle informative e del consenso dell’interessato.

Parallelamente, la rapida evoluzione della tecnologia ha contribuito ad accentuare la percezione del rischio di violazioni della privacy, e a diffondere una maggiore sensibilità verso il tema della protezione dei dati, insieme a una crescente aspettativa sociale di garanzie più efficaci a tutela di diritti riconosciuti come fondamentali.

Il Regolamento europeo 679/2016 risponde all’esigenza di garantire a tutti i cittadini europei il controllo sulla diffusione e l’utilizzo dei propri dati personali, stabilendo regole coerenti e uniformi a tutela della privacy, riconosciuta come diritto fondamentale sia dal Trattato sul Funzionamento dell’UE (art. 16) che dalla Carta dei diritti fondamentali dell’UE (art. 8).

La riforma si ispira a valori come la centralità dell’uomo e la trasparenza, e punta sul concetto di accountability, responsabilizzazione del titolare del trattamento, chiamato a adottare politiche e misure adeguate a dimostrare la conformità del trattamento dei dati personali effettuato.