Il 25 maggio è divenuto definitivamente applicabile il regolamento generale sulla protezione dei dati (UE) 2016/679 (infra: Gdpr), che abrogando la direttiva (CE) 95/46 reca una disciplina organica e trasversale del diritto alla protezione dei dati personali (sulle cui caratteristiche generali cfr. il contributo presente all’interno del Rapporto). Il solo settore non coperto dal Gdpr è quello del trattamento dei dati personali per fini di accertamento, prevenzione e repressione dei reati, dunque nel contesto dell’attività di polizia e della giurisdizione penale. Tale ambito è infatti disciplinato dalla direttiva (UE) 2016/680, trasposta nel nostro ordinamento dal d.lgs. n. 51 del 2018.
Il Gdpr (che al pari di ogni regolamento Ue è direttamente efficace e immediatamente applicabile) necessita tuttavia di norme nazionali che ne integrino o precisino alcune parti, nell’esercizio di quel margine di discrezionalità riconosciuto ai singoli Stati membri da clausole di flessibilità inerenti materie nelle quali sono coinvolti beni giuridici di particolare rilievo (lavoro, ricerca scientifica, diritto all’informazione, trasparenza amministrativa ecc.). Tali norme di adeguamento sono state adottate in via preliminare – ancorché con un certo ritardo – dal Governo con lo schema di decreto legislativo (Atto del Governo n. 22), attualmente sottoposto alle Camere ai fini dell’espressione del prescritto parere, da parte delle Commissioni speciali per l’esame degli atti urgenti del Governo.
I punti qualificanti del nuovo quadro giuridico europeo concernono: a) il rafforzamento dei diritti dell’interessato, ai quali sono riconosciuti anche la facoltà dell’esercizio del diritto all’oblio e alla portabilità dei dati; b) l’applicabilità delle norme europee anche alle aziende che, pur situate in territori extra-Ue, forniscano beni o servizi o profilino cittadini europei; c) la responsabilizzazione del titolare del trattamento, cui sono imposti alcuni obblighi “di risultato” (dovendo egli assicurare la garanzia della liceità, correttezza, esattezza del trattamento svolto), a fronte della riduzione di molti controlli preventivi del Garante; d) l’adeguamento delle norme alle nuove tecnologie, che condizionano in maniera così rilevante la realtà in cui si esercita questo diritto. Particolarmente significativi, in questo senso, sono i diritti riconosciuti rispetto ai processi decisionali automatizzati, che costituiscono l’asse portante dell’intelligenza artificiale, dell’internet of things ecc. In questo campo è infatti riconosciuto all’interessato il “right to explanation”, ovvero il diritto a conoscere la logica su cui si fonda la decisione adotta a seguito di un processo algoritmico, contestandone l’esito e pretendendo l’intervento umano in funzione sostitutiva delle scelte compiute dalle macchine nell’ambito del processo decisionale; e) il rafforzamento del quadro sanzionatorio, con sanzioni amministrative pecuniarie (la cui irrogazione è tuttavia alternativa, in certe condizioni, alle misure, di tipo correttivo, prescrittive e inibitorie) suscettibili di giungere sino al 4% del fatturato annuo globale ovvero a 20 milioni di euro.
Se, dunque, le nuove norme introducono garanzie maggiori per i cittadini, adeguando il diritto all’evoluzione della realtà (anche tecnologica) di riferimento, ancora più importante è, nel metodo, la scelta europea di adottare norme omogenee per tutti gli Stati membri, in un contesto, quale quello del digitale, su cui si giocheranno sfide tra le più importanti nei prossimi anni.