Regolamento - 27/04/2016 - n. 679 art. 2 - Ambito di applicazione materialeAmbito di applicazione materiale 1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. 2. Il presente regolamento non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione; b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE; c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse. 3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici dell'Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all'articolo 98. 4. Il presente regolamento non pregiudica pertanto l'applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva. InquadramentoL'art. 2.3 GDPR prevede una fattispecie atipica, ma non inusuale, di deroga all'applicazione materiale delle disposizioni di cui al Regolamento (GDPR). Infatti l'articolo in questione disciplina l'ipotesi di trattamento di dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione disponendone la sua regolazione non attraverso il Regolamento 2016/679 bensì demandando l'intera disciplina ad una specifica norma, appunto il Regolamento (CE) 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari nonché la libera circolazione di tali dati. Tuttavia, il legislatore comunitario nello stesso articolo precisa che lo stesso Regolamento 45/2001, a cui espressamente l'articolo in questione rimanda, dovrà essere necessariamente armonizzato ed adeguato a quelle che sono le disposizioni di cui al GDPR, anche in ossequio al disposto di cui all'art. 98 GDPR. La necessità di disciplinare la tutela dei dati anche nel contesto delle istituzioni ed organismi comunitari ha origini oramai lontane: l'art. 286 del Trattato che istituiva la Comunità Europea, giova ricordarlo, già nel 1957 disponeva infatti la soggezione anche degli organismi comunitari alle regole in materia di data protection, istituendo altresì, al fine di garantire un controllo ed un presidio costante all'osservanza di dette previsioni, un'autorità di controllo indipendente cui veniva demandato anche il compito di adottare, se del caso, “tutte le altre pertinenti disposizioni” (art. 286, comma 2). Medesima impostazione, sebbene rafforzata, la si ritrova anche nel c.d. Trattato di Lisbona, cioè il Trattato sul funzionamento dell'Unione Europea, che all'art. 16, comma 2, stabilisce che «Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché da parte degli Stati membri nell'esercizio di attività che rientrano nel campo di applicazione del diritto dell'Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti». Nel contesto di queste disposizioni e al fine di meglio conseguire il risultato di garantire il rispetto delle norme relative alla data protection e la libera circolazione dei dati anche nel contesto delle istituzioni ed organismi comunitari si manifesta l'esigenza di attuare una regolamentazione ad hoc sebbene in linea e strettamente connessa a quella prevista poi con la Direttiva 95/46/CE applicabile agli stati membri. Il GDPR quindi ripercorre la medesima strada tracciata in precedenza, estromettendo gli organi dell'Unione dall'applicazione delle disposizioni “ordinarie” e demandando al legislatore il compito di provvedere all'adeguamento delle stesse ai sensi delle rinnovate regole che sono definite, seppur in linea generale, dallo stesso GDPR, e così il Regolamento 45/2001 adeguato alle previsioni del GDPR si rinnova, con la conseguenza che l'art. 2.3 di cui si discute andrà riferito al riformato Regolamento 2018/1725 (in vigore dall'11 dicembre 2018), che quindi abroga il Regolamento 45/2001 nonché la decisione n. 1247/2002/CE che introduce la funzione del Garante europeo. Nello specifico, il Regolamento 2018/1725: a) stabilisce le norme relative alle modalità secondo le quali le istituzioni, gli organi e gli organismi dell'Unione devono trattare i dati personali che detengono sulle persone; b) tutela i diritti e le libertà fondamentali delle persone, in particolare il diritto alla protezione dei dati personali e il diritto alla riservatezza; c) allinea le norme per le istituzioni, gli organi e gli organismi dell'Unione a quelle del GDPR e della direttiva (UE) 2016/680, nota come direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (Law Enforcement Directive c.d. LED), in vigore da maggio 2018. Si tratta di un ulteriore ed importante tassello, nell'opera di completo rinnovamento del corpus generale di regole europee sulla protezione dei dati personali. Istituzioni ed Organi dell'UnioneCome evidenziato, rientrano nell'ambito applicativo del Regolamento 2018/1725, innanzitutto i trattamenti di dati personali operati dalle istituzioni “politiche” dell'Unione, le quali ricomprendono: i) il Parlamento ed il Consiglio europeo, composto dai capi di stato e di governo degli Stati membri che definiscono le linee guida della politica dell'UE, ii) il Consiglio dell'Unione europea, che invece è espressione dei governi degli Stati membri e riunisce i ministri delle aree di pertinenza (la presidenza di questa istituzione è assunta da ciascuno Stato membro per un semestre, a rotazione), iii) la Commissione che, insieme a Parlamento e Consiglio dell'UE contribuisce al processo di formazione degli atti normativi dell'Unione, iv) la Corte di giustizia dell'Unione europea (CJEU), la Banca centrale europea, la Corte europea degli auditors, il Servizio europeo per gli affari esterni (cioè il servizio diplomatico dell'Unione), il Comitato europeo economico e sociale, il Comitato europeo delle regioni, la Banca europea degli investimenti, l'Ombudsman europeo, il Garante europeo (EDPS), v) nonché gli organi interistituzionali. Le divergenze tra il Regolamento 2018/1725 e il GDPRCome noto, il GDPR, in quanto regolamento generale sulla protezione dei dati personali, si applica a società, organismi ed altri titolari che effettuano trattamenti di dati personali nell'Unione europea, fatti salvi i casi di extraterritorialità previsti dalla norma (art. 3.2 GDPR). Tuttavia, come indicato dall'art. 2.3 GDPR, sono fuori dall'ambito applicativo dello stesso, i trattamenti di dati personali effettuati dalle istituzioni, dagli organi, dalle agenzie dell'UE che in precedenza, avevano la propria fonte normativa nel Regolamento 45/2001. Il Regolamento 45/2001 – successivamente integrato dalla decisione n. 1247/2002/CE in particolare in relazione alla funzione del Garante europeo – aveva provveduto ad adeguare principi e regole della direttiva 95/46/CE al contesto istituzionale della UE; pertanto anche a seguito della riforma guidata dal GDPR, si rendeva necessario l'adeguamento di entrambi gli atti, ai principi della rinnovata normativa ed agli elevati livelli di protezione assicurati appunto dal GDPR, in ossequio a quanto disposto dall'art. 98 GDPR: Accountability, approccio basato sul rischio, trasparenza, effettività di protezione sono gli standard comuni ad entrambi i Regolamenti di cui si discute (GDPR e Regolamento 2018/1725). I Regolamenti di cui si discute poggiano quindi sui medesimi principi e pilastri applicativi, e questo senza dubbio agevola la costituzione di un quadro di garanzie coerente nell'Unione; un approccio uniforme che trova un ulteriore e forte spinta anche nella garanzia che le disposizioni dei due regolamenti “conformemente alle disposizioni della Corte di Giustizia europea” dovrebbero essere interpretate in modo omogeneo (considerando 5 Regolamento 2018/1725). Come evidenziato, seppur le disposizioni del Regolamento 2018/1725 ricalcano sostanzialmente quanto previsto dal GDPR (ad esempio, in relazione ai principi del trattamento, alle condizioni per il consenso, alle informazioni da fornire agli interessati in relazione al trattamento dei loro dati personali, ai diritti degli interessati ecc.), lo stesso presenta alcune significative differenze, qui di seguito sintetizzate. i) Definizione di “dati personali operativi” (art. 3.1 n. 2) vale a dire tutti quei dati personali trattati da organi ed organismi dell'Unione nell'esercizio di attività rientranti nell'ambito della cooperazione giudiziaria in materia penale e della cooperazione di polizia ai fini del conseguimento degli obiettivi e dell'esecuzione dei compiti attribuiti a detti organismi. ii) Non completa simmetria rispetto alle basi giuridiche del trattamento: infatti il legittimo interesse non costituisce una idonea base giuridica per il trattamento dei dati personali da parte degli organi e delle istituzioni UE (art. 5 del Regolamento 2018/1725). iii) Obbligo generalizzato di provvedere alla predisposizione e aggiornamento di un registro dei trattamenti: obbligo quindi che si applica indipendentemente dal numero dei dipendenti dell'organo/istituzione UE e dalle tipologie di dati personali trattati (cfr. art. 30 GDPR). iv) La sorveglianza circa la corretta applicazione e il rispetto delle disposizioni e degli adempimenti di cui al Regolamento 2018/1725, così come le decisioni circa i reclami presentati dagli interessati, è affidata al Garante europeo della protezione dei dati (“EDPS”). v) Individuazione per ogni istituzione od organo della UE di designare un proprio responsabile della protezione dei dati (“DPO”). vi) Le notificazioni dei data breach devono essere effettuate, entro 72 ore, all'EDPS così come ogni violazione di dati personali deve essere comunicata, dagli organi e dalle istituzioni UE, al proprio DPO. vii) Diverso processo di gestione dei provvedimenti amministrativi e delle norme interne in tema di trattamento di dati personali, che prevedono il coinvolgimento costante dell'EDPS. viii) Ridimensionato tenore delle sanzioni amministrative applicabili in capo agli organi o istituzioni dell'UE per eventuali violazioni del Regolamento 2018/1725 che possono arrivare fino all'importo di 50.000,00 Euro per ciascuna violazione commessa e fino ad un massimo di 250.000,00 Euro all'anno. BibliografiaBolognini, Pelino, in Bolognini, Pelino, Bistolfi (a cura di), Il Regolamento Privacy Europeo, Milano, 2016, 18; d'Agostino, Cubicciotti, d'Agostino, Barlassina, Colarocco (a cura di), Commentario al Regolamento UE 2016/679 e al Codice della Privacy aggiornato, Milano, 2019, 40; Scorza, in Riccio, Scorza, Belisario (a cura di), GDPR e normativa privacy commentario, Milano, 2018, 10; Spangaro, in Finocchiaro (a cura di), Il nuovo Regolamento Europeo sulla privacy e sulla protezione dei dati personali, Torino, 2017, 23. |
