L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea («Carta») e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Sono queste le parole del primo dei “considerata” che sono alla base del GDPR e che non possono essere tralasciati nella sua lettura e interpretazione. Il legislatore europeo ha voluto, in questa premessa, porre in evidenza come questa disciplina non solo trovi un suo fondamento nei principi fondanti dell’Unione, ma anche quello che è il ruolo centrale della persona, quale titolare dei dati, la cui protezione è riconosciuta come diritto.

Dando atto nei successivi punti di come l’evoluzione tecnologica, la globalizzazione, la velocità e l’aumento dei flussi di informazione e con esso il trasferimento dei dati comportino nuove sfide per la loro protezione, il GDPR precisa anche che il trattamento e la protezione dei dati debbano avere anche una funzione sociale; pertanto si dovranno definire limiti per contemperare le diverse esigenze, talora confliggenti, dei singoli, nel rispetto delle libertà individuali e nel rispetto delle differenze etniche, religiose e così via, ma anche quelle di espressione e informazione. Chiaro il riferimento alla libertà di stampa, ma intuitivo che il trattamento dati deve trovare una disciplina adeguata per esigenze di sicurezza ovvero per ragioni di carattere sociale e di ricerca scientifica, come emerge non solo dalla lettura della norma ma dalla sua intera contestualizzazione. Per questi scopi è stato quindi scelto lo strumento del Regolamento che, a differenza delle direttive e delle raccomandazioni, trova diretta ed immediata applicazione per tutti i membri dell’Unione, salvo lascare ad ognuno di loro ampi margini di discrezionalità nella disciplina. Ad esempio, le sanzioni penali sono lasciate ai singoli Stati per il principio della riserva penale. 

La nuova normativa, che ricordiamo essere in vigore dal Maggio 2016 e che trova definitiva applicazione dal 25 Maggio 2018, impone oggettivamente pesanti oneri a ciascun destinatario, vale a dire ogni singoli imprenditori e professionisti, imprese, enti pubblici o privati, imprese e così via ma, a fronte di dati obiettivi e di situazioni che si sono venute a creare negli ultimi anni, una disciplina rigorosa in materia protezione dati, che superasse le precedenti normative, era diventata una necessità.

I crimini informatici sono aumentati negli ultimi anni in maniera esponenziale, probabilmente più di quanto si potesse immaginare. Il furto di identità che vengono poi utilizzate per commettere truffe o altri reati, può essere facilmente commesso da chiunque abbia anche solo un minimo di dimestichezza con il mezzo informatico. Non siamo più, infatti, nell’epoca in cui venivano clonati i primi cellulari, i cui proprietari si trovavano destinatari di bollette milionarie (in lire) per telefonate che spaziavano dal Gambia alle Filippine: oggi con i dati che vengono addirittura volontariamente messi in rete, si può essere vittima di ben più sofisticate truffe, estorsioni e altri reati con conseguenze spesso tragiche. Sono passati poco più di venti anni e gli strumenti tecnologici hanno visto uno sviluppo che non ha alcun equivalente con quello dei precedenti venti secoli. Sviluppo che non intende certo arrestarsi. Non solo: con lo sviluppo della tecnologia, che è sempre più sofisticata, sono aumentati anche i tipi di reati che possono essere commessi utilizzando dati personali mediante accesso ai computer altrui, spesso poco protetti. Basti pensare agli attacchi informatici con cui vengono bloccati singoli computer o intere reti: si pensi gli attacchi ransomware, nei quali dei cyber attaccanti ricattano le vittime richiedendo un riscatto per riavere indietro i propri dati (ma, ricordiamo, i cyber criminali ne restano in posesso), ma anche ad episodi di cyber bullissimo. 

Ricordiamo che anche la creazione di false identità e la diffusione di fake-news possono essere oggetto della complessiva disciplina del trattamento dati. Da qui la volontà europea di imporre a tutti gli operatori che hanno a disposizione, per contratto o obbligo di legge, dati personali, proteggerli adeguatamente sin dalla fase in cui ne vengono in possesso e per tutta la durata di ogni trattamento, fino a disciplinare la loro cancellazione e il diritto all’oblio.