This article was accepted into the corpus but its outbound wikilinks were never NER-processed — typical at the deepest BFS hop or when the run's entity cap was reached. No expansion funnel to show.
| Regolamento generale sulla protezione dei dati | |
|---|---|
| Nome | Regolamento generale sulla protezione dei dati |
| Nome originale | Regolamento (UE) 2016/679 |
| Abbreviazione | GDPR |
| Data adozione | 27 aprile 2016 |
| Entrato in vigore | 25 maggio 2018 |
| Ambito | Unione Europea |
| Tipo | Regolamento dell'Unione europea |
Regolamento generale sulla protezione dei dati Il Regolamento (UE) 2016/679, noto come GDPR, è un atto legislativo dell'Unione europea che disciplina il trattamento dei dati personali nell'Unione europea e nello Spazio economico europeo; è stato adottato dal Parlamento europeo e dal Consiglio dell'Unione europea su proposta della Commissione europea. Il testo ha sostituito la Direttiva 95/46/CE e ha stabilito norme comuni per i diritti degli interessati, gli obblighi dei titolari e dei responsabili del trattamento e la cooperazione tra autorità indipendenti come il Garante per la protezione dei dati personali e autorità nazionali equivalenti.
Il regolamento è stato approvato dal Parlamento europeo e dal Consiglio dell'Unione europea in un contesto di crescente rilevanza di soggetti come Google, Facebook, Amazon (azienda), Apple Inc. e Microsoft rispetto alla gestione dei dati personali; l'adozione è stata influenzata da eventi internazionali come lo scandalo Cambridge Analytica e le indagini del Comitato per la libertà civile, la giustizia e gli affari interni (LIBE). Il quadro giuridico si colloca accanto ad altri strumenti internazionali come la Convenzione 108 del Consiglio d'Europa e si relaziona con decisioni della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo.
Il regolamento enuncia principi fondamentali ispirati a fonti normative come la Direttiva 95/46/CE e a giurisprudenza della Corte di giustizia dell'Unione europea; tali principi includono liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione e integrità e riservatezza. L'ambito materiale coinvolge soggetti quali società transnazionali come Facebook, Twitter, Uber Technologies, Airbnb e Booking.com e istituzioni come la Banca centrale europea quando trattano dati personali; l'ambito territoriale si estende a operatori extra-UE come Alibaba Group, Tencent, Samsung e Sony quando offrono beni o servizi a persone nell'Unione europea.
Il testo garantisce diritti concreti ispirati a strumenti giuridici come la Carta dei diritti fondamentali dell'Unione europea e la giurisprudenza della Corte costituzionale tedesca e della Corte suprema del Regno Unito: diritto all'informazione, accesso, rettifica, cancellazione (diritto all'oblio), limitazione del trattamento, portabilità dei dati e opposizione. Tali diritti si applicano in contesti che coinvolgono enti pubblici come la Commissione europea, aziende tecnologiche come IBM e Oracle Corporation e organismi sanitari come il Servizio sanitario nazionale (Regno Unito) e il Sistema sanitario nazionale (Italia). Procedure per l'esercizio dei diritti sono state analizzate in cause presso la Corte di giustizia dell'Unione europea e in contenziosi nazionali come quelli promossi contro operatori come Google LLC e Facebook, Inc..
Il regolamento impone obblighi a soggetti pubblici e privati come i ministeri nazionali come il Ministero della giustizia (Italia), le autorità fiscali come l'Agenzia delle entrate (Italia), istituti finanziari come Deutsche Bank, BNP Paribas e Goldman Sachs, e piattaforme digitali come YouTube e Instagram. Tra gli obblighi figurano l'adozione di misure tecniche e organizzative, la valutazione d'impatto sulla protezione dei dati (DPIA), la tenuta di registri delle attività di trattamento, la designazione di un responsabile della protezione dei dati (DPO) in contesti indicati e la notifica delle violazioni di dati personali alle autorità competenti come le autorità garanti nazionali entro termini sanciti dal testo.
Le autorità nazionali indipendenti, tra cui il Garante per la protezione dei dati personali in Italia, la Information Commissioner's Office nel Regno Unito (pre-Brexit), la Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in Germania e la Commission nationale de l'informatique et des libertés in Francia, cooperano tramite il Comitato europeo per la protezione dei dati; tale cooperazione è stata centrale in casi che hanno coinvolto attori come Google, Facebook e Microsoft e in procedure connessi alla libera circolazione dei dati con paesi terzi come gli Stati Uniti d'America, il Regno Unito e il Canada. Accordi internazionali e decisioni di adeguatezza come quelli con gli Stati Uniti d'America (es. meccanismi precedenti e successivi a Privacy Shield) e la cooperazione con organismi come l'Organizzazione per la cooperazione e lo sviluppo economico influenzano l'applicazione pratica.
Il regolamento prevede sanzioni amministrative fino a milioni di euro e percentuali del fatturato annuo mondiale per violazioni gravi; tali misure sono state applicate in procedimenti promossi dalle autorità nazionali come il Garante per la protezione dei dati personali, la CNIL e l'ICO contro gruppi come Google LLC, Facebook, Inc. e British Airways. Meccanismi di tutela includono ricorsi giurisdizionali davanti ai tribunali nazionali, rimedi davanti alla Corte di giustizia dell'Unione europea e strumenti di cooperazione come il meccanismo di coerenza gestito dal Comitato europeo per la protezione dei dati.
L'applicazione del regolamento ha influito su settori rappresentati da aziende come Amazon (azienda), Netflix, Spotify, Airbnb e istituzioni sanitarie come l'Organizzazione mondiale della sanità, con ricadute su pratiche di marketing di società come Procter & Gamble e Unilever. Giurisprudenza rilevante include decisioni della Corte di giustizia dell'Unione europea che hanno trattato casi con protagonisti come Google (diritto all'oblio) e pronunce nazionali in procedimenti promossi contro operatori come Equifax e British Airways. La normativa ha inoltre stimolato iniziative accademiche e di standardizzazione con enti come l'Organizzazione internazionale per la normazione e il World Wide Web Consortium, e ha alimentato dibattiti politici in organismi come il Parlamento europeo e il Consiglio d'Europa.
Category:Diritto dell'Unione europea