- Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
- Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
- La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
CONSIDERANDO:
(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è
un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione
europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea
(«TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale
che la riguardano.
(2) I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati di
carattere personale (“dati personali”) dovrebbero rispettarne i diritti e le libertà fondamentali, in
particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla
loro residenza. Il presente regolamento è inteso a contribuire alla realizzazione di uno spazio di
libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al
rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone
fisiche.
(3) La direttiva 95/46/CE del Parlamento europeo e del Consiglio (4) ha come obiettivo di
armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle
attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra Stati membri.
(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione
dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della
sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i
principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e
familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero,
di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a
un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
(5) L’integrazione economica e sociale conseguente al funzionamento del mercato interno ha
condotto a un considerevole aumento dei flussi transfrontalieri di dati personali e quindi anche dei
dati personali scambiati, in tutta l’Unione, tra attori pubblici e privati, comprese persone fisiche,
associazioni e imprese. Il diritto dell’Unione impone alle autorità nazionali degli Stati membri di
cooperare e scambiarsi dati personali per essere in grado di svolgere le rispettive funzioni o
eseguire compiti per conto di un’autorità di un altro Stato membro.
(6) La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la
protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è
aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto
alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle
loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala
mondiale informazioni personali che le riguardano. La tecnologia ha trasformato l’economia e le
relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno
dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al
tempo stesso un elevato livello di protezione dei dati personali.
(7) Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati
nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di
fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno
che le persone fisiche abbiano il controllo dei dati personali che le riguardano e che la certezza
giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e
le autorità pubbliche.
(8) Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del
diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per
rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del
presente regolamento nel proprio diritto nazionale.
(9) Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha
impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio
dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico,
che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in
particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli
Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali
differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala
dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro
derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle
divergenze nell’attuare e applicare la direttiva 95/46/CE.
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e
rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di
protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati
dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione
coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone
fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. Per quanto riguarda il
trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un
compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare
del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme
nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento.
In combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati
che attua la direttiva 95/46/CE, gli Stati membri dispongono di varie leggi settoriali in settori che
richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine di
manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di
categorie particolari di dati personali («dati sensibili»). In tal senso, il presente regolamento non
esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di
trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di
dati personali è lecito.
(11) Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la
disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e
determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare
il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli
Stati membri.
(12) L’articolo 16, paragrafo 2, TFUE conferisce al Parlamento europeo e al Consiglio il mandato di
stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati
di carattere personale e le norme relative alla libera circolazione di tali dati.
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e
prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato
interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli
operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti
gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del
trattamento e dei responsabili del trattamento e assicuri un controllo coerente del trattamento dei
dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le
autorità di controllo dei diversi Stati membri. Per il buon funzionamento del mercato interno è
necessario che la libera circolazione dei dati personali all’interno dell’Unione non sia limitata né
vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati
personali. Per tener conto della specifica situazione delle micro, piccole e medie imprese, il
presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250
dipendenti per quanto riguarda la conservazione delle registrazioni. Inoltre, le istituzioni e gli
organi dell’Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le
esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento. La
nozione di micro, piccola e media impresa dovrebbe ispirarsi all’articolo 2 dell’allegato della
raccomandazione 2003/361/CE della Commissione.
(14) È opportuno che la protezione prevista dal presente regolamento si applichi alle persone
fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a
persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la
forma della persona giuridica e i suoi dati di contatto.
(170) Poiché l’obiettivo del presente regolamento, vale a dire garantire un livello equivalente di
tutela delle persone fisiche e la libera circolazione dei dati personali nell’Unione, non può essere
conseguito in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti
dell’azione in questione, può essere conseguito meglio a livello di Unione, quest’ultima può
intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea
(TUE). Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in
ottemperanza al principio di proporzionalità enunciato nello stesso articolo.
(172) Il Garante europeo della protezione dei dati è stato consultato conformemente all’articolo 28,
paragrafo 2, del regolamento (CE) n. 45/2001 e ha espresso un parere il 7 marzo 2012 (17).