A differenza della precedente Direttiva 95/46/EC in materia di protezione dei dati, la quale richiedeva un intervento legislativo per la sua implementazione in ogni Stato membro, il Regolamento Privacy si applicherà direttamente in tutti gli Stati membri dell’Unione Europea. Tutte le disposizioni dell’attuale d. lgs. 196/2003 (cd. “Codice Privacy”) che non sono in linea con quelle del Regolamento non saranno più valide a partire dal giorno 25 maggio 2018. Questo interessa verosimilmente tutte le aziende e gli studi professionali poiché è difficile (se non impossibile) pensare oggi ad una struttura che non tratti dati personali. Infatti, la definizione di “dato personale” prevista dal Regolamento (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”) è volutamente ampia.

Oltre al nome, cognome e ai dati di contatto, molte altre informazioni possono costituire “dati personali” ai sensi del Regolamento laddove essi consentono l’identificazione di una persona (ad es., l’indirizzo IP, la posizione geografica rilevata attraverso il telefonino, le valutazioni soggettive su una persona ecc.).

Il dato personale è ormai diventato elemento fondamentale dell’economia moderna e tante attività all’interno degli studi professionali sono qualificabili come trattamento di dati personali. Ad esempio, le attività di sviluppo commerciale (come attività di marketing, l’invio di newsletter, la profilazione dei clienti) o l’affidamento dei dati dei dipendenti della società ad un fornitore esterno (ad esempio per la gestione di assicurazioni o payroll) costituiscono trattamenti di dati personali che dal 25 maggio 2018 dovranno essere in conformità con le disposizioni del Regolamento Privacy.