Concedere agli operatori un periodo sufficiente a prepararsi Regolamento UE 2016/679

COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO Bruxelles, 24.1.2018

È importante concedere agli operatori un periodo sufficiente a prepararsi per tutte le disposizioni alle quali devono conformarsi.

Maggiore protezione, nuove opportunità  – Orientamenti della Commissione per l'applicazione diretta del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018
Il 6 aprile 2016 l'Unione europea ha deciso di modificare radicalmente il quadro giuridico relativo alla protezione dei dati adottando il pacchetto di riforma in materia comprendente il regolamento generale sulla protezione dei dati (“regolamento”), che sostituisce la ventennale direttiva 95/46/CE (“direttiva sulla protezione dei dati”), e la direttiva sulla protezione dei dati nell'ambito della cooperazione giudiziaria e di polizia . Il regolamento, nuovo strumento di protezione dei dati a livello di Unione, diventerà  direttamente applicabile il 25 maggio 2018, due anni dopo la sua adozione ed entrata in vigore.
Il regolamento rafforzerà  la tutela del diritto dei cittadini alla protezione dei dati personali, riflettendone la natura di diritto fondamentale dell'Unione europea .
Prevedendo un unico insieme di norme direttamente applicabili negli ordinamenti giuridici degli Stati membri, garantirà  la libera circolazione dei dati personali tra gli Stati membri dell'UE e rafforzerà  la fiducia e la sicurezza dei consumatori, due elementi indispensabili per un vero mercato unico digitale. Il regolamento creerà  così nuove opportunità  per le attività  commerciali e le imprese, soprattutto quelle di piccole dimensioni, anche chiarendo le norme relative al trasferimento internazionale di dati.
Pur basandosi sulla normativa vigente, il nuovo quadro giuridico avrà  effetti di ampia portata e, sotto alcuni aspetti, richiederà  notevoli adeguamenti. Per questo motivo, il regolamento prevede un periodo di transizione di due anni – fino al 25 maggio 2018 – per offrire agli Stati membri e alle parti interessate il tempo di prepararsi ad applicare pienamente il nuovo quadro giuridico.
Nel corso degli ultimi due anni tutte le parti interessate, dalle amministrazioni nazionali e autorità  nazionali di protezione dei dati ai titolari del trattamento e responsabili del trattamento, hanno intrapreso varie attività  per assicurare che l'importanza e l'ampiezza dei cambiamenti introdotti dalle nuove disposizioni in materia di protezione dei dati siano ben chiare e tutti i soggetti interessati siano pronti ad applicarle. Con l'avvicinarsi della scadenza del 25 maggio, la Commissione ritiene necessario fare il punto delle attività  svolte e valutare eventuali altri provvedimenti che potrebbero essere utili per garantire che tutto sia pronto per la riuscita applicazione del nuovo quadro giuridico.
I punti cruciali della comunicazione sono:

1. Il nuovo quadro giuridico dell'ue in materia di protezione dei dati — maggiore protezione e nuove opportunità 
2. Attività  preparatorie svolte finora a livello di Unione europea
3. Provvedimenti ancora da adottare per una preparazione ottimale
4. Prossime tappe

Il regolamento è direttamente applicabile in tutti gli Stati membri. Ciò significa che entra in vigore e si applica senza necessità  di alcun atto legislativo nazionale: di norma, i cittadini, le imprese, le pubbliche amministrazioni e altre organizzazioni che trattano dati personali possono basarsi direttamente sulle disposizioni del regolamento. Ciononostante, conformemente al regolamento, gli Stati membri devono adottare le misure necessarie per adattare la rispettiva legislazione abrogando e modificando le leggi esistenti, istituire autorità  nazionali di protezione dei dati, scegliere un organismo di accreditamento e stabilire le norme per conciliare la libertà  di espressione con la protezione dei dati.
Il regolamento offre altresì agli Stati membri la possibilità  di precisare ulteriormente l'applicazione delle norme in materia di protezione dei dati in ambiti specifici, vale a dire: settore pubblico , rapporti di lavoro e sicurezza sociale, medicina preventiva e medicina del lavoro, sanità  pubblica, fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici, numero di identificazione nazionale, accesso del pubblico ai documenti ufficiali e obblighi di segretezza. Inoltre, per quanto riguarda il trattamento di dati genetici, dati biometrici o dati relativi alla salute, il regolamento consente agli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni.
L'interpretazione del regolamento spetta agli organi giurisdizionali europei (giudici nazionali e, da ultimo, Corte di giustizia dell'Unione europea) e non ai legislatori degli Stati membri. Il legislatore nazionale pertanto non può copiare il testo del regolamento se non è necessario alla luce dei criteri forniti dalla giurisprudenza, né interpretarlo o inserire condizioni aggiuntive alle norme direttamente applicabili in virtù del regolamento. Se lo facesse, gli operatori nell'Unione si troverebbero di nuovo di fronte a un quadro frammentato e non saprebbero quali norme sono tenuti a rispettare.
In questa fase soltanto due Stati membri (Austria e Germania) hanno già  adottato la legislazione nazionale pertinente; gli altri Stati membri hanno raggiunto diversi stadi delle rispettive procedure legislative e prevedono di adottare la normativa entro il 25 maggio 2018. È importante concedere agli operatori un periodo sufficiente a prepararsi per tutte le disposizioni alle quali devono conformarsi.
Qualora gli Stati membri non adottino le misure necessarie a norma del regolamento, non le adottino entro i termini previsti o facciano ricorso alle disposizioni del regolamento relative alle precisazioni in modo contrario al regolamento stesso, la Commissione intende avvalersi di tutti gli strumenti di cui dispone, compreso il ricorso alla procedura di infrazione.

Vai alla comunicazione della commisssione