Il Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) è principale la normativa europea in materia di protezione dei dati personali.
Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018. E’ composto da 99 articoli e 173 considerando, laddove questi ultimi hanno solo un valore interpretativo.
Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati dell’Unione ed è attuato allo stesso modo in tutti gli Stati dell’Unione senza margini di libertà nell’adattamento (tranne per le parti per le quali si prevede espressamente delle possibilità di deroga). Il Regolamento nasce con i seguenti obiettivi (vedi Considerando 9):
- la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea, questo perché col Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantito allo stesso modo in tutto il territorio dell’Unione (pur lasciando margini di manovra ai legislatori nazionali in alcune materie, in particolare quelle che investono in via diretta l’esercizio di pubblici poteri, vedi il decreto di adeguamento 101 del 2018);
- lo sviluppo del Mercato Unico Digitale (Digital Single Market) europeo, grazie alla maggiore tutela dei dati si alimenta la fiducia dei cittadini nella società digitale e nell’uso dei servizi digitali;
- rispondere alle nuove sfide derivante dalle nuove tecnologie digitali.