Destinato a sostituire entro due anni l’obsoleta Direttiva 95/46/CE, il Regolamento UE 2016/679, entrato in vigore il 24 maggio 2016 e noto come Regolamento europeo in materia di protezione dei dati personali, non solo rappresenta un notevole aggiornamento in tema di protezione e trattamento dei dati personali, ma consente anche di porre finalmente fine a quelle palesi disarmonie che in tale materia si sono via via registrate tra gli ordinamenti dei singoli Stati membri, uniformandone la disciplina a livello comunitario.

Tale Regolamento, che tiene conto delle indicazioni contenute nel trattato di Lisbona - il quale estende il diritto alla privacy dalla mera libertà di circolazione delle persone a tutte quelle materie connesse alla politica estera ed alla sicurezza pubblica - si prefigge l’obiettivo di disciplinare a livello normativo, in termini di assoluta novità, gli aspetti indissolubilmente legati allo sviluppo tecnologico degli ultimi decenni, tra cui spiccano le questioni inerenti al diritto all’oblio, al diritto alla portabilità dei dati, al diritto ad essere informati in caso di violazione dei dati.

Preliminarmente, occorre evidenziare come tutte le novità contenute nel nuovo Regolamento Europeo trovino adeguata contestualizzazione nell’alveo del diritto alla protezione dei dati personali; diritto, quest’ultimo, già ampiamente riconosciuto per il tramite delle disposizioni di cui all’art. 8, par. 1, della Carta dei Diritti Fondamentali dell’Unione Europea ed all’art. 16, par. 1, del TFUE (“ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”), ed inoltre richiamato nel Considerando n. 1 del nuovo testo: “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale”.

Dall’analisi della formula normativa utilizzata nei due atti più risalenti, si ricava il riconoscimento in capo al soggetto interessato sia della facoltà di conoscere l’uso che si faccia dei dati a lui riferiti, sia di un potere di controllo in merito all’uso stesso. Valutando, infatti, i dati personali come una rappresentazione - se non addirittura una vera e propria proiezione - dell’individuo nell’ambiente civile e sociale, non può negarsi in capo a quest’ultimo un interesse a che tale proiezione sia gestita in maniera corretta e, soprattutto, entro i limiti dallo stesso stabiliti.

Costituisce corollario delle considerazioni de qua la necessità di rendere più snella ed immediata l’accessibilità ai dati personali da parte del singolo interessato, al fine di consentirgli, anche in ottica di un’eventuale rettifica o cancellazione degli stessi, una visione completa di ciò che costituisce l’oggetto del trattamento nonché delle finalità del trattamento medesimo.

Viene, di conseguenza, alla luce quello che, qualificato alla stregua di un diritto informativo, prende il nome di diritto di accesso ai dati da parte dell’interessato.

In merito, nonostante il Considerando n. 63 ne preveda la possibilità di esercizio solo “a intervalli ragionevoli” al fine di impedire che ciò si tramuti in un tentativo di evitare il trattamento attraverso continue richieste, il Considerando n. 68 sancisce invece l’opportunità “che l’interessato abbia il diritto, qualora i dati personali siano trattati con mezzi automatizzati, di ricevere in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che lo riguardano che abbia fornito ad un titolare del trattamento e di trasmetterli ad un altro titolare del trattamento”.

Il richiesto sviluppo di formati interoperabili tra titolari è quindi strettamente funzionale alla portabilità dei dati, ovvero al diritto dell’interessato, sancito dall’art. 20 del Regolamento, di ottenere che i dati personali siano trasmetti a un titolare del trattamento ad un altro: questo riguarda però i soli casi in cui il trattamento, purché automatizzato, sia sottoposto a previa manifestazione del consenso da parte dell’interessato o a quelli in cui si stipulano contratti.

Oltre che dai Considerando esaminati, il diritto di accesso ai dati è altresì dettagliatamente disciplinato all’art. 15 del Regolamento, ai sensi del quale l’interessato ha il diritto di ottenere dal titolare la conferma che sia o meno in corso un trattamento dei dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati stessi nonché ad una serie di informazioni elencate dalla norma stessa.

Come accennato, comunque, le novità non si limitano all’ampliamento della disciplina del diritto di accesso o a quello della portabilità dei dati; il punto di forza dell’attuale normativa risiede infatti anche nell’aver introdotto e potenziato una nuova gamma di diritti dispositivi, in precedenza non contemplati o disciplinati in maniera più superficiale.

Così, ad esempio, l’art. 16 amplia il diritto alla rettifica dei dati, introducendo la facoltà per l’interessato di ottenere l’integrazione di ogni eventuale proiezione incompleta data di sé fornendo nuovi dati, compatibilmente con la finalità ultima del trattamento eseguito dal titolare.

Ancora, di apicale interesse è la previsione, nell’ambito del diritto alla cancellazione dei dati, del differente diritto all’oblio, ovvero quello di un soggetto a vedersi, per così dire, “dimenticato” dalle banche dati, dai mezzi di informazione, dai motori di ricerca che detengono i suoi dati.

Tale diritto, finora figlio della ricostruzione giurisprudenziale, rappresenta il frutto più maturo del nostro contesto storico, ove l’incontrollato sviluppo tecnologico ha diametralmente invertito la precedente necessità dell’individuo a vedersi connesso con il resto del mondo, tramutandola, invece, in un opposto desiderio di isolamento e di essere dimenticato.

La determinante svolta compiuta dal Parlamento Europeo nel sancire il diritto dell’interessato a vedere cancellati dal titolare del trattamento “senza ingiustificato ritardo” tutti quei dati “non più necessari rispetto alle finalità per cui sono stati raccolti”, nonché quelli trattati in maniera illecita, in tutti i casi, alternativamente, di richiesta, di revoca del consenso, di opposizione al trattamento o di obbligo legale alla cancellazione è indice di una nuova sensibilità nei confronti dell’odierno quadro sociale, testimone della crescente evoluzione in materia.

In ogni caso, l’esercizio di tale diritto non è aprioristicamente incondizionato: al contrario, l’art 17 del nuovo Regolamento enuclea infatti, nell’ottica di un ragionevole bilanciamento dei diritti, una serie di ipotesi in cui il diritto all’oblio cede il passo a principi parimenti meritevoli di tutela.

Ne sono esempi, il caso in cui il trattamento sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione (richiedendo in tal caso un bilanciamento con gli opposti diritto di cronaca e dovere di informazione) o quello in cui, invece, il trattamento costituisce l’adempimento di un obbligo legale.

Tra le novità più rilevanti non può, inoltre, non citarsi l’introduzione della figura del Data Protection Officer, ossia del responsabile della protezione dei dati.

Tra i compiti attribuiti a DPO, che dovrà obbligatoriamente essere presente nelle aziende pubbliche ed in quelle ove i trattamenti presentino dei rischi, si annoverano, in particolare, quelli di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento; di verificare l'attuazione e l'applicazione della normativa, oltre alla sensibilizzazione e formazione del personale; di fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; di fungere da punto di contatto per i soggetti interessati, in merito a qualunque problematica connessa al trattamento dei loro dati nonché all'esercizio dei loro diritti, e per il Garante per la protezione dei dati personali.

Alla luce delle consistenti novità, qui brevemente ricostruite, apportate dal nuovo Regolamento in materia di protezione dei dati personali, emerge come la discrasia temporale fra la sua adozione e l’effettiva applicazione sia finalizzata a consentire a tutti i soggetti obbligati di adeguarsi al nuovo quadro normativo.

Peraltro, la previsione di tale periodo di transizione è stato favorevolmente accolto dalla dottrina, che auspica, nel corso di questi due anni, una intervenienda chiarezza in relazione al rapporto tra il Regolamento stesso e le leggi nazionali di protezione dei dati personali, con particolare riferimento ai casi in cui queste ultime contengano norme non in diretto e palese contrasto con quelle regolamentari: a riguardo si afferma, infatti, che, nonostante la scontata applicazione del Regolamento in virtù dell’art. 11 Cost., non sia ancora possibile prevedere quali saranno i problemi che concretamente si dovranno affrontare, prospettandosi, pertanto, per i giudici una delicata e, probabilmente, non univoca attività interpretativa.