Essendo una normativa di origine anglosassone, il nuovo Regolamento europeo basa tutta la sua struttura vertebrale su principi cardine che guidano i soggetti coinvolti, ad operare secondo coordinate ben precise. In Italia non siamo abituati a veder applicato questo tipo di approccio legislativo, dato che le nostre leggi hanno la caratteristica comune di esplicitare in dettaglio ciò che è lecito o illecito fare in determinate situazione. Il Regolamento lascia molto la libertà di scegliere cosa è meglio fare e in che maniera, in ambito di trattamento dati, ma impone, con chiaro ed esplicito riferimento, di rispettare i principi fondamentali su cui basa tutto il testo.
Come già sottolineato più volte nell’attuale codice in materia di protezione dei dati, tuttora in vigore nel nostro paese (D.Lgs. 196/03), anche il Regolamento si concentra su concetti fondamentali. Fin dai primi articoli si sottolinea come la protezione dei dati personali sia classificato come diritto fondamentale delle persone fisiche. E’ poi sottolineato più volte come lo stesso regolamento sia strutturato per rispettare questo diritto e tutti quelli riconosciuti dalla carta dei diritti fondamentali dell’Unione Europea.
Obbiettivi principali del testo normativo sono quello di trasparenza nelle attività di trattamento e di garanzia nella tutela dei diritti, cercando di standardizzare l’approccio tra tutti gli operatori coinvolti indistintamente nei paesi dell’unione europea.
Nel dettaglio l’art. 5 evidenzia ed esplicita quali siano questi principi, argomentando, senza dubbio interpretativo, che i dati devono essere:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità,
correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in
modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali
a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a
fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile
con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono
trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per
cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali
sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di
tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati
personali possono essere conservati per periodi più lunghi a condizione che siano trattati
esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione
di misure tecniche e organizzative adeguate richieste dal presente regolamento a
tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità
e riservatezza»).
Continuando poi nella lettura normativa, ci imbattiamo nel dettaglio di uno di questi concetti. Ed è così che l’art. 6 sottolinea che il trattamento è lecito solo nella situazione in cui ricorre almeno una delle seguenti:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o
più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o
all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare
del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di
un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o
connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del
trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà
fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare
se l’interessato è un minore.
Il principio di liceità del trattamento coincide con quello attualmente previsti dal codice della Privacy (D. lgs. 196/03). E’ su questo principio fondamentale che si basano tutte le procedure e gli obblighi di adempimento descritti negli articoli successivi, cosicché venga tutelato il diritto fondamentale dell’uomo e la protezione dei suoi dati personali.