La protezione dei dati personali è oggetto di una Direttiva Europea del 1995; da quel momento gli Stati Membri emanano le proprie  normative  nazionali e ne coordinano gli aspetti principali e le regole in materia  scambio di dati personali fra Stati. L’Italia definisce la propria normativa  sulla privacy nel 1996, e quindi nel 2003 procede a un generale riordino, con il Codice per la protezione dei dati personali.

Negli ultimi vent'anni, di pari passo, internet diviene un normale strumento di comunicazione e di lavoro per milioni di persone,  si afferma e  si diffonde l’uso dei social network per scopi diversi, ludici,  sociali, di lavoro e commerciali; vengono coinvolti in modo massiccio i minori, giovani ma anche bambini, che sempre più  accedono interattivamente alla rete. Si allargano  anche i confini della ricerca in ogni campo e sempre più, si creano reti che coinvolgono centri di eccellenza in stati diversi,  anche fuori dai confini dell’Europa. Per contro nell’ultimo decennio  il mondo sperimenta un crescente clima di insicurezza a cui  i Governi nazionali rispondono con misure che di fatto limitano il diritto alla privacy dei singoli individui.

Il diritto alla riservatezza non è un diritto assoluto ma va considerato in relazione alla sua funzione nella società.  (così afferma anche la Sentenza della Corte di giustizia europea  9.11.10 c-92/09 e c-93/09).  E’ un diritto strettamente connesso al rispetto per la vita privata e famigliare,  e collegato ai diritti di libertà della persona: libertà personale, libertà di espressione, libertà di impresa, diritto di proprietà, diritto d’autore. Deve  tener conto dei rischi di discriminazioni  su base razziale,  etnica,  genetica, sessuale, di religione, opinioni politiche e filosofiche.  Deve rispondere a una protezione dei diritti dei minori ed essere al servizio del diritto alla salute dei cittadini.  Deve essere compatibile con il diritto di accesso ai documenti.

La proposta di riforma della normativa europea per la protezione dei dati personali tiene conto di  questo complesso contesto in  rapida evoluzione e si orienta verso un REGOLAMENTO europeo, immediatamente applicabile negli stati membri e una DIRETTIVA, volta in particolare a definire l’ambito del trattamento di dati personali da parte di pubbliche autorità a scopi di prevenzione, indagine e perseguimento dei reati ed esecuzione di sanzioni penali.

Nel sito  della Commissione europea è disponibile una ricca documentazione al riguardo,   che comprende anche documenti preparatori e una serie di FACT SHEET che illustrano gli esiti di un’indagine condotta fra i cittadini europei per analizzare la percezione del diritto alla privacy nei vari stati. Sono disponibili in italiano il documento predisposto per la consultazione degli stati membri, nel 2010 (documento) e il testo della proposta di direttiva.

Una sintesi dei principi che il Regolamento vuole  assicurare e delle novità che introduce è  contenuta nella presentazione disponibile sul sito del Garante  per la Privacy italiano di cui  si riporta di seguito uno stralcio:

• restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);
• viene introdotto il principio dell'applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell'UE, se relativi all'offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
•  si stabilisce il diritto degli interessati alla "portabilità del dato" (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il "diritto all’oblio", ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);
• scompare l'obbligo per i titolari di notificare i trattamenti di dati personali, sostituito da quello di nominare un "data protection officer" (incaricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti;
• viene introdotto il requisito del "privacy impact assessment" (valutazione dell'impatto-privacy) oltre al principio generale detto "privacy by design" (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);
• si stabilisce l'obbligo per tutti i titolari di notificare all'autorità competente le violazioni dei dati personali ("personal data breaches");
• si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

La normativa unificata a livello europeo porterà quindi qualche novità alle regole vigenti in Italia: alcuni aspetti che oggi vengono risolti con procedure burocratiche talvolta  onerose per i cittadini, gli enti e le imprese, verranno meno, ma si richiederà di garantire un più sostanzialmente il rispetto della privacy in tutti i trattamenti di dati.  Va  segnalato che, a livello nazionale, un’anticipazione di queste semplificazioni è già contenuta  nel decreto legge del  9 febbraio 2012 n. 5; salvo modifiche in fase di conversione in legge,  è abolito l’obbligo di redigere e aggiornare  annualmente il documento programmatico per la sicurezza  dei dati personali (DPS).