Pubblicato sulla Gazzetta ufficiale dell’Unione europea del 21/11/2018 il testo del Regolamento (UE) 2018/1725 del 23 ottobre 2018 sulla “tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE “.

Clicca qui per consultare il testo del Regolamento.

Il Regolamento 2018/1725 – che si compone di 101 articoli introdotti da 89 considerando – stabilisce le norme relative alla protezione delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organi dell’Unione, nonché norme relative alla libera circolazione dei dati personali tra tali istituzioni e organi o verso altri destinatari stabiliti nell’Unione.

Al Garante Europeo per la Protezione Dati – EDPS è affidato il compito di sorvegliare l’applicazione delle disposizioni del regolamento a tutti i trattamenti effettuati da un’istituzione o un organo dell’Unione.

Si tratta di un’ulteriore ed importante tassello nell’opera di completo rinnovamento del corpus generale di regole europee sulla protezione dei dati personali che si aggiunge al Regolamento 2016/679 – GDPR e della Direttiva 2016/680 sui trattamenti di pubblica sicurezza.

Il framework potrà tuttavia dirsi completato soltanto con l’emanazione del Regolamento ePrivacy sulla vita privata e le comunicazioni elettroniche (qui il draft in discussione) che dovrà soppiantare l’obsoleta Direttiva 2002/58/CE. (già emendata, specie in riferimento al consenso per i cookie, dalla Direttiva 2009/136/CE).

L’upgrade della disciplina di ePrivacy tarda tuttavia ad arrivare. Negli intenti iniziali della UE, il Regolamento ePrivacy sarebbe dovuto entrare in forza contestualmente al GDPR quale normativa indispensabile a declinarne i principi generali in riferimento ai servizi di comunicazione elettronica, ossia con riguardo ad un ambito assolutamente decisivo per la data privacy nell’era della digital society e digital economy. La normativa deve infatti regolamentare aspetti fondamentali che spaziano dallo spam al direct marketing, dal machine learning all’Internet delle cose, dai cookie ai metadati, e così via.

Come intuibile, la posta in gioco sull’ePrivacy è elevatissima, specie in relazione alla possibilità per i big player di Internet di tracciare e monetizzare – grazie agli automatismi di digital advertising – i dati online rilasciati dagli utenti. Per questo, il processo di approvazione è risultato gravemente rallentato tra:

  • le pressioni delle lobby delle Telco e degli Over the Top (Google, Facebook, etc.) americani che vogliono mantenere o rafforzare i propri vantaggi competitivi;
  • le rimostranze degli editori europei che temono di perdere sostanziosi introiti pubblicitari;
  • l’oggettiva delicatezza di diversi passaggi della normativa.

Senza il regolamento ePrivacy, il corpo che regolamenta la protezione dei dati personali dei cittadini europei è mutilato. Lo European Data Protection Supervisor Giovanni Buttarelli ha ripetutamente – specie con questo recente ed incisivo comunicato – espresso l’urgenza di porre al più presto rimedio a questa grave asimettria che inficia la completezza del nuovo framework di data protection.