Il Regolamento europeo 2016/679 relativo alla protezione del le persone fisiche con riguardo al trattamento dei dati personali,

* _{Il presente testo costituisce una sintesi dell’intervento svolto al Convegno}

“L’entrata in vigore del Regolamento UE 20167679. La riforma alla prova della pras- si in Italia e in Spagna”, Pisa, 8-9 giugno 2018, ripreso successivamente nel corso della Tavola rotonda “Macchine intelligenti e automazione responsabile”, Pisa, 12 ottobre 2018, coordinata dalla prof.ssa Dianora Poletti nel quadro degli eventi dell’Internet Festival svoltosi in data 12 e 13 ottobre 2018 sul tema Intelligenza ar-

tificiale e nuovi diritti.

Franco Pizzetti ha trattato più ampiamente il tema nel saggio La protezione dei

dati personali e la sfida dell’Intelligenza Artificiale, in F. Pizzetti, Intelligenza ar- tificiale, protezione dei dati personali e regolazione, Torino Giappichelli, 2018. Al

volume citato hanno contribuito con saggi autonomi, R. Angelini, M. Bassani, D.Benedetti, R. Bifulco, A. Caselli, G. D’Acquisto, G.F. Italiano, L. Liguori, A. Massolo, M. Naldi, O. Pollicino, A. Spina.

Regolare la tecnologia: il Reg. UE 2016/679

70

nonché alla libera circolazione di tali dati, ormai noto come il GDPR, segue due direttrici di fondo, che è assolutamente necessario tenere sempre ben presenti: la prima, ovviamente, è assicurare una elevata tutela delle persone fisiche e dei loro diritti rispetto ai trattamenti dei dati personali; la seconda, è quella di creare un clima di fiducia nell’effettiva tutela dei trattamenti legati alla libera circolazione dei dati nella società digitale anche al fine di favorire “lo sviluppo dell’e- conomia digitale in tutto il mercato interno”.

Queste due linee strategiche sono espresse con la massima chia- rezza nei primi sette Considerando, il cui contenuto deve orientare tutta la lettura, interpretazione e applicazione delle norme contenu- te nel GDPR e nelle leggi nazionali di attuazione1_.

Quello che emerge chiaramente, in particolare dal Considerando 7, è che il Regolamento non si limita ad assicurare solo la protezione dei dati personali e la loro libera circolazione, come avveniva nella impostazione della Direttiva 95/46 CE, che il GDPR stesso ha abrogato dal 25 maggio 2018. Il nuovo Regolamento, infatti, fa almeno due passi in avanti in più.

Il primo concerne appunto la tutela dei dati personali rispetto ai trattamenti che li riguardano, che ora si fonda non più su un ampio, ma generico, dovere di rispettare i diritti e le libertà fondamentali delle persone fisiche ma dà attuazione a quanto previsto dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea, che ricono- 1 _{È bene ricordare sempre che le leggi nazionali che gli Stati membri possono}

approvare con riferimento alla tutela dei trattamenti di dati personali si basano strettamente e soltanto sulla competenza riconosciuta da norme specifiche del GDPR agli Stati membri. Di conseguenza, le leggi nazionali in materia forma- no parte integrante della tutela dei dati personali sul territorio di ciascun Paese dell’Unione, avendo un duplice vincolo: a) di avere la loro base giuridica non sulla sovranità dei legislatori nazionali ma sulla competenza ad essi assegnata dal GDPR; b) di dovere, di conseguenza, essere sempre interpretate e applicate in con- formità alle norme e ai principi del Regolamento europeo.

In questo senso è esemplare quanto previsto dall’art. 22 del decreto legislativo 10 agosto 2018 n. 101 di adeguamento della normativa nazionale alle disposizioni del Regolamento 2016/679 UE, che al primo comma afferma: «Il presente decreto e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra Stati membri ai sensi dell’art. 1, paragrafo 3 del Regolamento (UE) 2016/679».

GDPR e Intelligenza Artificiale

sce la tutela delle persone rispetto ai trattamenti dei dati che sono ad esse riconducibili come un diritto fondamentale dell’Unione.

Non a caso, del resto, si è passati dalla Direttiva 95/46 al Rego- lamento 2016/679. La ragione essenziale dell’adozione di un Rego- lamento, come tale immediatamente applicabile in tutta l’Unione, è infatti proprio la conseguenza di due innovazioni fondamentali intervenute successivamente: a) l’adozione, nell’ambito dei Trattati di Lisbona del 2009, della Carta dei diritti fondamentali dell’Unione; b) il fatto che l’art.8 della Carta individua tra i diritti fondamentali anche quello delle persone fisiche alla tutela dai trattamenti relativi ai dati che li riguardano.

Di questa profonda evoluzione giuridica e di prospettiva dà conto, del resto, il Considerando 1, posto non a caso all’inizio del Regola- mento.

Il secondo passo in avanti che il GDPR fa rispetto alla Direttiva ri- guarda invece la libera circolazione dei dati all’interno del territorio dell’Unione.

La Direttiva, nel Considerando 3, fondava la libera circolazione dei dati sulle esigenze legate all’instaurazione e al funzionamento del mercato interno. Si ricordi, del resto, che l’adozione della Diret- tiva 95/46 avvenne sostanzialmente nell’ambito di attuazione del Trattato di Maastricht e per facilitare la piena attuazione del merca- to interno. Per questo anche i riferimenti contenuti nei Consideran- do 4) 5) e 6) della Direttiva riguardavano lo sviluppo e integrazione dell’economia europea nell’ambito del mercato interno.

Il Regolamento invece non si limita a sottolineare l’esigenza del- la integrazione economica e sociale dell’Unione come fondamento della libertà di circolazione dei dati. Sottolinea anche che l’esigenza di una robusta tutela dei trattamenti è condizione essenziale anche per rafforzare la fiducia delle persone fisiche nello sviluppo dell’eco- nomia digitale all’interno dell’Unione.

Questi due “cambi di passo” sono molto importanti.

Il primo è legato alla adozione della Carta dei diritti fondamentali dell’Unione ed al conseguente riconoscimento del diritto alla prote- zione dei dati personali come diritto fondamentale.

Il secondo sottolinea che gli ulteriori obiettivi del Regolamento non sono più solo il funzionamento del mercato interno e lo svilup- po economico dell’Unione ma anche, e forse soprattutto, l’incremen- to della fiducia delle persone fisiche nell’economia digitale.

Regolare la tecnologia: il Reg. UE 2016/679

72

Entrambi questi mutamenti di prospettiva concorrono in ma- niera determinante a ridefinire il quadro di fondo nel quale occorre collocare il passaggio dalla Direttiva 95/46 al Regolamento 1026/679 e segnano il fortissimo salto di qualità e di prospettiva che vi è tra i due sistemi normativi.

Il GDPR si pone come una “nuova regolazione” che, muovendo dalla Direttiva 95/46, vuole garantire un quadro normativo adeguato allo sviluppo dell’economia digitale. Lo scopo ultimo è far fronte agli enormi cambiamenti avvenuti, proprio nell’ambito dei trattamenti dei dati, nel passaggio dall’organizzazione economica e produttiva della metà degli anni novanta, fondata ancora essenzialmente sul libero scambio di beni, merci e servizi, e il contesto economico e produttivo attuale, basato in misura sempre crescente sull’econo- mia digitale. Un “cambio di fase” che alla metà degli anni novanta non era neanche pensabile in queste dimensioni, e che richiede una utilizzazione sempre più ampia della circolazione e degli scambi di dati, compresi quelli personali.

1.2. Proprio questa diversità di contesto e di prospettiva spiega anche