Il 25 maggio 2018 è entrato in vigore il Regolamento UE n. 679/2016 “Regolamento generale sulla protezione dei dati personali”.
Il Regolamento europeo, GDPR secondo l’acronimo inglese, è immediatamente applicabile in tutti gli Stati membri ed è finalizzato ad uniformare la regolamentazione in materia di protezione dei dati all’interno dell’Unione Europea.
La nuova normativa si basa sul principio di accountability (responsabilizzazione) del titolare del trattamento, in base al quale al titolare competono la responsabilità della progettazione e realizzazione dei trattamenti, il controllo e l’attuazione di misure di sicurezza adeguate e la capacità di comprovare il processo di adeguamento effettuato.
Il nuovo regolamento prevede che è il titolare del trattamento a determinare, in modo autonomo, le ipotesi in cui il trattamento è lecito e corretto, a differenza di quanto avveniva in passato, in cui tale valutazione era di competenza di un’autorità esterna (come nel caso delle verifiche preliminari compiute dall’Autorità Garante per la protezione dei dati).
Di fondamentale importanza è poi il D. Lgs. n. 101/2018, che ha modificato il Codice in materia di protezione dei dati personali, approvato con il D. Lgs. n. 196/2003, adeguando la normativa italiana al regolamento europeo. Il nuovo decreto legislativo ha abrogato le norme del Codice in contrasto con la normativa europea, disciplinando anche argomenti di interesse nazionale, non affrontati in sede europea.
Il quadro normativo in materia di protezione dei dati personali si completa con gli allegati al “Codice in materia di protezione dei dati personali”, con i provvedimenti e le decisioni dell'Autorità Garante per la protezione dei dati personali e con il Regolamento UE n. 1807/2018 del 14 novembre 2018. Quest’ultimo regolamento, applicabile alla libera circolazione dei dati non personali, contiene norme rilevanti, in particolare nell’ambito della ricerca scientifica e della gestione dei sistemi informatici, poiché disciplina i dati anonimi ex ante (dati anonimi fin dalla loro origine) ed ex post (dati che in origine erano dati personali, ma che sono stati resi anonimi).