Il Consiglio dei Ministri ha approvato, definitivamente, il decreto legislativo di attuazione delle disposizioni del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Comunicato 08 agosto 2018, n. 14).

Il Regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Esso si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
In particolare, secondo il Regolamento, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento UE. Dette misure sono riesaminate e aggiornate qualora necessario.
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate. Il responsabile del trattamento non ricorre ad altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. I trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o dello Stato membro, che vincoli il responsabile al titolare del trattamento e che stipuli la materia disciplinata, durata, natura e finalità del trattamento, tipologia di dati personali e categorie di interessati, obblighi e diritti del titolare del trattamento.
Ciò premesso, il decreto legislativo, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Al fine di semplificare l’applicazione della norma, è stato deciso di agire novellando il codice della privacy esistente, nonostante il regolamento abbia di fatto cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio di dell’accountability. Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.