Concedere agli operatori un periodo sufficiente a prepararsi Regolamento UE 2016/679
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO Bruxelles, 24.1.2018
È importante concedere agli operatori un periodo sufficiente a prepararsi per tutte le disposizioni alle quali devono conformarsi.
Maggiore protezione, nuove opportunità – Orientamenti della Commissione per l'applicazione diretta del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018
Il 6 aprile 2016 l'Unione europea ha deciso di modificare radicalmente il quadro giuridico relativo alla protezione dei dati adottando il pacchetto di riforma in materia comprendente il regolamento generale sulla protezione dei dati (“regolamento”), che sostituisce la ventennale direttiva 95/46/CE (“direttiva sulla protezione dei dati”), e la direttiva sulla protezione dei dati nell'ambito della cooperazione giudiziaria e di polizia . Il regolamento, nuovo strumento di protezione dei dati a livello di Unione, diventerà direttamente applicabile il 25 maggio 2018, due anni dopo la sua adozione ed entrata in vigore.
Il regolamento rafforzerà la tutela del diritto dei cittadini alla protezione dei dati personali, riflettendone la natura di diritto fondamentale dell'Unione europea .
Prevedendo un unico insieme di norme direttamente applicabili negli ordinamenti giuridici degli Stati membri, garantirà la libera circolazione dei dati personali tra gli Stati membri dell'UE e rafforzerà la fiducia e la sicurezza dei consumatori, due elementi indispensabili per un vero mercato unico digitale. Il regolamento creerà così nuove opportunità per le attività commerciali e le imprese, soprattutto quelle di piccole dimensioni, anche chiarendo le norme relative al trasferimento internazionale di dati.
Pur basandosi sulla normativa vigente, il nuovo quadro giuridico avrà effetti di ampia portata e, sotto alcuni aspetti, richiederà notevoli adeguamenti. Per questo motivo, il regolamento prevede un periodo di transizione di due anni – fino al 25 maggio 2018 – per offrire agli Stati membri e alle parti interessate il tempo di prepararsi ad applicare pienamente il nuovo quadro giuridico.
Nel corso degli ultimi due anni tutte le parti interessate, dalle amministrazioni nazionali e autorità nazionali di protezione dei dati ai titolari del trattamento e responsabili del trattamento, hanno intrapreso varie attività per assicurare che l'importanza e l'ampiezza dei cambiamenti introdotti dalle nuove disposizioni in materia di protezione dei dati siano ben chiare e tutti i soggetti interessati siano pronti ad applicarle. Con l'avvicinarsi della scadenza del 25 maggio, la Commissione ritiene necessario fare il punto delle attività svolte e valutare eventuali altri provvedimenti che potrebbero essere utili per garantire che tutto sia pronto per la riuscita applicazione del nuovo quadro giuridico.
I punti cruciali della comunicazione sono:
- Il nuovo quadro giuridico dell'ue in materia di protezione dei dati â” maggiore protezione e nuove opportunità
- Attività preparatorie svolte finora a livello di Unione europea
- Provvedimenti ancora da adottare per una preparazione ottimale
- Prossime tappe
Il regolamento è direttamente applicabile in tutti gli Stati membri. Ciò significa che entra in vigore e si applica senza necessità di alcun atto legislativo nazionale: di norma, i cittadini, le imprese, le pubbliche amministrazioni e altre organizzazioni che trattano dati personali possono basarsi direttamente sulle disposizioni del regolamento. Ciononostante, conformemente al regolamento, gli Stati membri devono adottare le misure necessarie per adattare la rispettiva legislazione abrogando e modificando le leggi esistenti, istituire autorità nazionali di protezione dei dati, scegliere un organismo di accreditamento e stabilire le norme per conciliare la libertà di espressione con la protezione dei dati.
Il regolamento offre altresì agli Stati membri la possibilità di precisare ulteriormente l'applicazione delle norme in materia di protezione dei dati in ambiti specifici, vale a dire: settore pubblico , rapporti di lavoro e sicurezza sociale, medicina preventiva e medicina del lavoro, sanità pubblica, fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici, numero di identificazione nazionale, accesso del pubblico ai documenti ufficiali e obblighi di segretezza. Inoltre, per quanto riguarda il trattamento di dati genetici, dati biometrici o dati relativi alla salute, il regolamento consente agli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni.
L'interpretazione del regolamento spetta agli organi giurisdizionali europei (giudici nazionali e, da ultimo, Corte di giustizia dell'Unione europea) e non ai legislatori degli Stati membri. Il legislatore nazionale pertanto non può copiare il testo del regolamento se non è necessario alla luce dei criteri forniti dalla giurisprudenza, né interpretarlo o inserire condizioni aggiuntive alle norme direttamente applicabili in virtù del regolamento. Se lo facesse, gli operatori nell'Unione si troverebbero di nuovo di fronte a un quadro frammentato e non saprebbero quali norme sono tenuti a rispettare.
In questa fase soltanto due Stati membri (Austria e Germania) hanno già adottato la legislazione nazionale pertinente; gli altri Stati membri hanno raggiunto diversi stadi delle rispettive procedure legislative e prevedono di adottare la normativa entro il 25 maggio 2018. È importante concedere agli operatori un periodo sufficiente a prepararsi per tutte le disposizioni alle quali devono conformarsi.
Qualora gli Stati membri non adottino le misure necessarie a norma del regolamento, non le adottino entro i termini previsti o facciano ricorso alle disposizioni del regolamento relative alle precisazioni in modo contrario al regolamento stesso, la Commissione intende avvalersi di tutti gli strumenti di cui dispone, compreso il ricorso alla procedura di infrazione.