A chi si applica?, negli ultimi vent’anni, il forte impatto della tecnologia ha comportato un cambiamento significativo per quanto attiene al trattamento dei dati: è cambiato non solo il modo di percepire il tema della protezione dei dati, ma anche il modo in cui essi vengono prodotti, raccolti e fatti circolare. Questo mutamento ha ormai reso obsoleta la precedente direttiva europea (dir 95/46/CEE), rendendo necessaria l’introduzione del nuovo Regolamento UE 679/2016, che muta radicalmente l’approccio alla gestione dei dati personali.
Il GDPR, pubblicato in GUCE del 4 maggio 2016, il è già in vigore e deve trovare piena e completa applicazione in data 25 maggio 2018.
Questo pertanto è il primo di una serie di blog con i quali si affronterà - punto per punto - la nuova disciplina.
La prima domanda che viene spontanea è quindi: a chi si applica il nuovo Regolamento 679?
Circa la sua applicazione materiale, l’art. 2 del Regolamento stabilisce che lo stesso deve trovare applicazione in due ipotesi:
- quando il trattamento dei dati è gestito in forma completamente o parzialmente automatizzata dall’azienda, ad esempio tramite database.
- ed altresì quando il trattamento dei dati non è automatizzato (quindi è cartaceo) ma i dati contenuti ed organizzati in un archivio o essere destinati a figurarvi.
In questo senso, indipendentemente dalla modalità con la quale le aziende decidono di raccogliere i dati, le stesse devono comunque sottostare alla medesima disciplina. In questo modo, la tutela dei dati risulta tecnologicamente neutrale.
Quando, invece, NON si applica il Regolamento? Sono esclusi i casi di trattamento di dati puramente personale da parte di persone fisiche, come la gestione della corrispondenza privata, o l’uso personale dei servizi di social networking. Le attività miste (ad esempio, l’invio di corrispondenza che comprende sia contenuti personali, sia contenuti connessi alle imprese) non sono invece esenti, e devono pertanto seguire le indicazioni del Regolamento 679/2016. Inoltre per l’applicazione della normativa non incide né il settore né la grandezza dell’organizzazione: gli stessi adempimenti si applicano alle piccole imprese e grandi multinazionali, con pochissime eccezioni.
In definitiva, il nuovo Regolamento si inserisce nell’ordinamento europeo con lo scopo ridisciplinare e gestire in maniera diversa i dati personali. Il Regolamento colma le lacune giuridiche derivanti dal rapido sviluppo della tecnologia, che oggi è presente anche negli aspetti più personali della vita degli individui, e che era necessario regolamentare.