Dopo oltre due anni di gestazione e di confronto con molteplici stakeholder, è stata annunciata la proposta della Commissione Europea per il nuovo Regolamento sulla tutela dei dati personali che sostituirà la direttiva 95/46/CE. A differenza della direttiva, il Regolamento sarà legge direttamente applicabile in ogni Stato membro, quindi anche in Italia. In sostanza, quando questo Regolamento verrà approvato e diverrà applicabile (2 anni), si verificherà una rivoluzione per la normativa privacy: il Codice Privacy ne sarà fortemente impattato, e anche a livello italiano rispetteremo adempimenti uguali ai nostri "cugini" europei.
Luca Bolognini, Presidente dell'Istituto Italiano per la Privacy, commenta la novità con entusiasmo ma non nasconde qualche preoccupazione: "La notizia di un'applicazione uniforme della privacy in tutta Europa è ottima, perché fino ad oggi le diverse normative nazionali costituivano ostacoli per il mercato e per la libera circolazione dei dati. Tuttavia, preoccupano alcune norme contenute nella proposta di Regolamento, che renderanno estremamente pesanti ed onerosi gli adempimenti per le imprese e gli enti. In Italia si è molto odiato, in passato, il DPS privacy: bene, con i nuovi obblighi introdotti dal Regolamento saranno richiesti sforzi di compliance e di documentazione molto superiori. C'è il rischio di scrivere una legge europea che farà la felicità di noi avvocati e ricercatori, senza tuttavia tenere in conto l'applicabilità concreta delle regole e delle tutele da parte di enti e aziende e nell'interesse dei cittadini."
L'avvocato Rosario Imperiali, alla guida del Comitato Scientifico dell'Istituto Italiano per la Privacy, sottolinea come questa operazione normativa si caratterizzi per tre aspetti principali: "Innanzitutto, è importante per l'allargamento dell'ambito di applicazione delle norme privacy, che domani potranno tutelare le informazioni dei residenti europei anche se presenti in Internet o nel cloud computing. Inoltre, sarà imposta alle imprese l'adozione di un vero modello organizzativo per la tutela dei dati, con l'introduzione del principio di responsabilità (accountability). In concreto, saranno le aziende a dover  dimostrare la conformità del loro operato alle regole comunitarie, in caso di controlli. Infine, colpisce l'adozione di un impianto sanzionatorio di fonte comunitaria, a garanzia dell'efficacia di quanto prescritto, con livelli massimi di rilievo, parametrati al fatturato globale annuo dell'impresa penalizzata".