Art. 1 – oggetto e finalità
1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
3. La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
L’oggetto del Regolamento
L’art. 1 dichiara, innanzitutto, il duplice oggetto del Regolamento:
la protezione delle persone fisiche con riguardo al trattamento dei dati personali
la libera circolazione dei medesimi dati.
Coerentemente al titolo del Regolamento i due ambiti di regolamentazione sono pari ordinati senza che l’uno possa considerarsi prevalente sull’altro.
La natura ambivalente delle disposizioni contenute nel Regolamento è, d’altra parte, in linea con l’originaria impostazione della direttiva 95/46/CE del 24.10.1995, relativa, anch’essa, alla “tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
La nuova disciplina, dunque, non ha ad oggetto – e non intende avere ad oggetto – esclusivamente la protezione dei dati personali ma, con eguale intensità, la libera circolazione di tali dati nell’ambito dell’Unione europea nonché, al ricorrere di talune condizioni, anche al di fuori dell’Unione.
Illuminanti in questa prospettiva di decodifica dell’oggetto del Regolamento appaiono i (considerando) C4 , C5 e C6 .
Recita il primo dei tre richiamati Considerando: “(4)
Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo.
Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica”.
Aggiunge, il successivo: “(5)
L’integrazione economica e sociale conseguente al funzionamento del mercato interno ha condotto a un considerevole aumento dei flussi transfrontalieri di dati personali e quindi anche dei dati personali scambiati, in tutta l’Unione, tra attori pubblici e privati, comprese persone fisiche, associazioni e imprese. Il diritto dell’Unione impone alle autorità nazionali degli Stati membri di cooperare e scambiarsi dati personali per essere in grado di svolgere le rispettive funzioni o eseguire compiti per conto di un’autorità di un altro Stato membro”.
Chiarisce, infine, il C6:
“(6) La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali”.
Di tale duplice oggetto della disciplina europea occorrerà, naturalmente, tenere conto, anche in sede di adozione degli atti nazionali di attuazione e specificazione del Regolamento.
Numerosi istituti e disposizioni presenti nel Regolamento suggeriscono di leggere – probabilmente oggi più di quanto fosse possibile ieri nella direttiva 95/46/CE – la ferma volontà del legislatore europeo di trattare il tema della libera circolazione dei dati come autonomo oggetto di regolamentazione e non già semplice conseguenza o finalità della regolamentazione avente ad oggetto la protezione dei dati personali. I
In questa prospettiva basti pensare – solo perché più sintomatico di tanti altri – all’istituto, di nuova introduzione nell’Ordinamento europeo, della c.d. “portabilità dei dati”, strumento più di libera circolazione dei dati quale garanzia di libertà di mercato che di efficace protezione dei dati personali.
Al riguardo appare, peraltro, importante considerare che eventuali asimmetrie nelle discipline nazionali in materia di libera circolazione non solo europea ma anche interna dei dati – anche personali – in un ecosistema ormai globale quale è quello della società nella quale viviamo, minacciano di rallentare taluni processi di sviluppo sociale ed economico in alcuni Paesi in relazione ad altri.
II. Le finalità del Regolamento
Le finalità del Regolamento, così come, d’altra parte gli oggetti di tutela della nuova disciplina sono due:
- stabilire che, in Europa, “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale”
- “contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche” come suggerisce
In questa prospettiva la finalità principale del Regolamento è dichiarata già nell’incipit e consiste in un rafforzamento – – dell’uniformità della disciplina europea della materia e in una maggiore attenzione ai profili di attuazione delle norme.
Lo spiega bene il C7 secondo il quale
l’attuale contesto socio-economico e tecnologico “richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno”.
C9 secondo il quale
“Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche”.
È, duplice, il gap nell’attuale quadro normativo cui il Regolamento intende porre rimedio:
- poca uniformità nella disciplina vigente a livello nazionale;
- assenza di un adeguato livello di certezza del diritto e fiducia dei cittadini europei in relazione all’effettiva protezione dei propri dati personali loro garantita dalle regole vigenti.
- 95/46/C il Regolamento sostituisce adempimenti di carattere più pregnante, capaci per un verso di responsabilizzare in modo profondo i titolari dei trattamenti e, per altro verso, di garantire agli interessati una consapevolezza effettiva in relazione ai trattamenti in essere dei propri dati personali e ai propri diritti connessi a tali trattamenti.
Non altrettanto, tuttavia, sembra potersi ritenere con riferimento alla rilevata assenza di un adeguato livello di uniformità nella disciplina della materia nei diversi Paesi dell’Unione. In tale prospettiva, infatti, la sola scelta di aver inteso far ricorso a un Regolamento anziché a una Direttiva al fine di eliminare il rischio di eccessive diversificazioni regolamentari nell’ambito dei processi di recepimento non appare sufficiente a colmare il gap già identificato.
Il Regolamento, infatti, lascia liberi i diversi Paesi membri di specificare, nazionalizzare, adeguare numerose previsioni contenute nel Regolamento aprendo così la porta al riprodursi del fenomeno della disomogeneità delle diverse discipline nazionali di attuazione di quella che dovrebbe essere la norma europea uniforme in materia di protezione dei dati personali e libera circolazione dei dati.
Il C10, in questa direzione, ad esempio, stabilisce
“Per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento. …
Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali (“dati sensibili”).
In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito”.
Si tratta, evidentemente, di amplissimi margini di manovra riconosciuti ai legislatori nazionali nel processo di attuazione della disciplina contenuta nel Regolamento con conseguente elevato e perdurante rischio che tornino a prodursi rilevanti disomogeneità tra le diverse discipline nazionali.
Sempre sul versante delle finalità perseguite con il Regolamento, le disposizioni contenute all’art. 1 chiariscono che le nuove regole si preoccupano esclusivamente di garantire il diritto alla protezione dei dati personali delle persone fisiche con definitiva esclusione, per quanto il punto fosse ormai già chiaro nella disciplina nazionale della totalità dei Paesi europei, dei dati relativi a soggetti diversi dalle persone fisiche.
In questa prospettiva, peraltro, la lettura del C14 sembra suggerire una bipartizione dello scibile dei dati riferibili a soggetti specifici nella quale vi sono dati riconducibili a persone fisiche e dati riconducibili a persone giuridiche ovvero a soggetti dotati di personalità giuridica:
“Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”. I dati relativi alle società di persone, alla luce di tale indicazione, sembrerebbero dover essere lasciati rientrare nella definizione di dati personali e, dunque, nell’ambito di applicazione del Regolamento.
