A         GDPR - Trattamento dati personali (privacy) -
                    In generale


              criteri per la determinazione e applicazione delle sanzioni amministrative pecuniarie e sul loro am-
              montare, che varia da 10.000.000 a 20.000.000 di euro per le persone fi siche, mentre per le imprese
              dal 2% al 4% del fatturato mondiale dell’anno precedente o, se superiore, a quello dell’anno cui si
              riferiscono le violazioni, per concludere con alcuni esempi pratici di trattamento dati non corretto.

              A1  TRATTAMENTO DI DATI PERSONALI E PROTEZIONE DEI DIRITTI DELLE
                  PERSONE
                 La protezione dei dati personali dovrebbe essere considerata come un diritto fondamentale
              delle persone fi siche e gli Stati dell’Unione dovrebbero garantire in maniera coerente ed omoge-
              nea un elevato livello di protezione dei diritti e delle libertà delle persone fi siche rimuovendo gli
              ostacoli alla circolazione dei dati personali nel territorio dell’Unione (considerando 1, del regola-
              mento (UE) 2016/679 sulla protezione dei dati).
                 Ogni trattamento di dati personali dovrebbe pertanto rispettare i diritti e le libertà fondamentali
              della persona umana a prescindere dalla sua nazionalità o residenza, ma nel contempo il diritto
              alla protezione dei dati personali non può essere considerato come una prerogativa assoluta, ma
              più tosto in relazione alla sua funzione sociale da contemperare con gli altri diritti fondamentali nel
              rispetto del principio di proporzionalità.

              A1.1  Dalle direttive CE al regolamento UE sulla protezione dei dati personali
                 Della problematica del trattamento dei dati personali si è occupata l’UE con la direttiva 95/46/CE
              del Parlamento europeo e del Consiglio, del 24 ottobre 1995 (relativa alla tutela delle persone fi siche
              con riguardo al trattamento e alla libera circolazione di dati personali) (1) e con la direttiva 2002/58/CE
              del Parlamento europeo e del Consiglio, del 12 luglio 2002 (riguardante il trattamento di dati personali e
              la tutela della vita privata nel settore delle comunicazioni elettroniche) (2). I principi delle predette diretti-
              ve sono stati recepiti dalla normativa italiana con la legge 31 dicembre 1996, n. 675 e successivamente
              con il decreto legislativo 30.6.2003 n. 196 (Codice per la protezione dei dati personali, cd. “Codice
              privacy”), modifi cato fra l’altro dal decreto-legge 18.2.2015, n. 7, convertito nella legge 17.4.2015, n.
              43 (3).
                (1) V. direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24.10.1995 “Relativa alle persone fi siche con ri-
                  guardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, pubblicato sulla Gazzetta Uffi  ciale
                  della Comunità europea n. 281/31, del 23.11.1995.
                  Con riferimento alla suddetta direttiva, si riporta il testo dell’art. 94 regolamento (UE) 2016/679 (GDPR) che ne di-
                  spone l’abrogazione:
                  “Articolo 94 Abrogazione della direttiva 95/46/CE
                  1. La direttiva 95/46/CE è abrogata a decorrere da 25 maggio 2018.
                  2. I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela
                  delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva 95/46/CE si inten-
                  dono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento.”.
                (2) Si riporta il testo dell’art. 95 GDPR:
                  “Articolo 95 Rapporto con la direttiva 2002/58/CE
                  Il presente regolamento non impone obblighi supplementari alle persone fi siche o giuridiche in relazione al tratta-
                  mento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di
                  comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifi ci aventi lo
                  stesso obiettivo fi ssati dalla direttiva 2002/58/CE.”.

                (3) Modifica Codice privacy
                  La legge di delega n. 163/2017 ha assegnato al Governo sei mesi di tempo, a decorrere dal 21.11.2017, per armonizza-
                  re le disposizione del Codice privacy (DLG n. 196/2003) con le nuove norme europee del regolamento (UE) 2016/679
                  (GDPR). Ciò nonostante, il giorno prima dell’entrata in vigore della citata legge n. 163/2017, ovvero il 20.11.2017, è sta-
                  ta varata la legge 20.11.2017, n. 167 (Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia
                  all’Unione europea - Legge europea 2017), pubblicata sulla G.U. n. 277, del 27.11.2017 ed entrata in vigore il 12 dicembre
                  2017, con cui il Parlamento ha provveduto direttamente ad apportare le prime modifi che al Codice privacy, nonostante la
                  delega al Governo di pochi giorni prima.
                  A tal proposito, infatti, l’art. 28, della legge n. 167/2017, dalla rubrica (Modifi che al codice in materia di protezione dei dati
                  personali, di cui al decreto legislativo 30.6.2003, n. 196), ha riformulato l’art. 29 del Codice privacy (DLG 30.6.2003, n.
                  196) con l’introduzione del nuovo comma 4-bis e la modifi ca dell’esistente comma 5.


              16