Con l’acronimo GDRP si fa riferimento al General Data Protection Regulation, ossia al regolamento in materia di protezione dei dati ovvero in materia di “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, emanato con reg. (UE) n. 679 del 27 aprile 2016 e pubblicato nella Gazzetta ufficiale dell’Unione Europea del 4 maggio 2016.

Detto provvedimento abroga e sostituisce la dir. 95/46/CE (recante il “regolamento generale sulla protezione dei dati”) che in precedenza disciplinava la materia di protezione dei dati personali.

Il nuovo regolamento, come noto, trova applicazione dal 25 maggio 2018, mentre non é ancora stato adottato dal nostro Paese il decreto attuativi per il quale si dovrá aspettare il mese di agosto.

L’esigenza di una riforma della materia è sorta anche soprattutto dalla continua evoluzione degli stessi concetti di privacy e di data protection, dovuta principalmente all’incessante progresso dei servizi on line.

Finalitá del regolamento è la protezione dei “diritti e (del)le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali” (così l’art. 1 reg.).

Ci occuperemo nei prossimi giorni di illustrare la nuova normativa ed i diritti e obblighi ad essa connessa.

Per il momento, ci limiteremo ad illustrare alcuni principi fissati dalla normativa (art. 5):

a)  liceità, correttezza e trasparenza: i dati personali sobi trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
b) i dati personali possono essere raccolti “per finalità determinate, esplicite e legittime”, e successivamente trattati in modo che non sia incompatibile con tali finalitá;
c) possono essere raccolti soltanto i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d)  i dati devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e)  i dati personali vanno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»);
f)  il trattamento deve essere tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).