Il regolamento (Link) affronta numerose questioni fondamentali:
Diritti degli interessati
Il regolamento elenca i diritti degli interessati, vale a dire le persone fisiche i cui dati personali vengono trattati. Tali diritti rafforzati conferiscono ai singoli un maggiore controllo sui propri dati personali, anche attraverso:
- la necessità del chiaro consenso dell’interessato al trattamento dei dati personali
- un accesso facilitato dell’interessato ai suoi dati personali
- il diritto alla rettifica, alla cancellazione e “all’oblio”
- il diritto di obiezione, anche riguardo all’uso dei dati personali a fini di “profilazione”
- il diritto di portabilità dei dati da un prestatore di servizi a un altro
Stabilisce anche l’obbligo per i titolari del trattamento (coloro che hanno la responsabilità del trattamento dei dati) di fornire agli interessati informazioni trasparenti e facilmente accessibili sul trattamento dei loro dati.
Conformità
Il regolamento specifica gli obblighi generali dei responsabili del trattamento dei dati personali e di coloro che li trattano per loro conto (incaricati del trattamento). Tra questi figura l’obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate (approccio basato sul rischio). I responsabili del trattamento sono inoltre tenuti, in taluni casi, a comunicare le violazioni di dati personali. Tutte le autorità pubbliche e le imprese che svolgono talune operazioni di trattamento dei dati rischiose dovranno inoltre nominare un responsabile della protezione dei dati.
Controllo e risarcimento
Il progetto di regolamento conferma l’attuale obbligo per gli Stati membri di istituire un’autorità di controllo indipendente a livello nazionale. Punta anche a istituire meccanismi per garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’UE. In particolare, nei casi transfrontalieri importanti in cui sono coinvolte diverse autorità di controllo nazionali, si adotterà una decisione di controllo unica. In base a questo principio, noto come sportello unico, una società con controllate in diversi Stati membri dovrà interagire solo con l’autorità preposta alla protezione dei dati nello Stato membro in cui ha lo stabilimento principale.
Il progetto di accordo prevede anche l’istituzione di un comitato europeo per la protezione dei dati, che dovrebbe comprendere rappresentanti di tutte le 28 autorità di controllo indipendenti e sostituire il comitato esistente di cui all’articolo 29.
È riconosciuto il diritto degli interessati di proporre reclamo all’autorità di controllo, nonché il diritto a un ricorso giurisdizionale e il diritto al risarcimento e responsabilità. Al fine di assicurare la prossimità delle persone fisiche nelle decisioni che le riguardano, gli interessati avranno il diritto di ottenere il riesame da parte di un giudice nazionale delle decisioni adottate dalle rispettive autorità preposte alla protezione dei dati. Ciò avverrà a prescindere dallo Stato membro in cui il responsabile del trattamento dei dati è stabilito.
Sono previste sanzioni molto severe nei confronti dei responsabili del trattamento o degli incaricati del trattamento che violano le norme sulla protezione dei dati. I responsabili del trattamento dei dati possono incorrere in sanzioni fino a 20 milioni di EUR o al 4% del loro fatturato globale annuo. Tali sanzioni amministrative verranno imposte dalle autorità nazionali preposte alla protezione dei dati.
Trasferimenti a un paese terzo
Il regolamento contempla anche il trasferimento di dati personali verso paesi terzi e organizzazioni internazionali. A tal fine, essa conferisce alla Commissione la responsabilità di valutare il livello di protezione offerto da un territorio o da un settore di trattamento in un paese terzo. In mancanza di una decisione di adeguatezza della Commissione riguardo a un determinato territorio o settore, il trasferimento di dati personali può comunque avere luogo in casi particolari o quando esistono garanzie adeguate (clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali).