Articoli

Dove si applica il GDPR? Pubblicate le linee guida sull’ambito di applicazione territoriale

Avv. Vincenzo Colarocco

L’European Data Protection Board (EDPB), a seguito della quindicesima sessione plenaria tenutasi lo scorso 12 e 13 novembre, ha adottato la versione definitiva delle Linee Guida sull’ambito territoriale del Regolamento europeo n. 679/2016, meglio noto come “GDPR”, volte a delineare il corretto modus operandi in specifici casi affetti da criticità. Il testo fornisce un’importante interpretazione dell’art. 3 del GDPR, di certo ausilio per tutte le aziende che operano al di fuori del territorio dell’Unione Europea. La norma introduce due criteri alternativi per l’individuazione dell’ambito di applicazione territoriale, rispettivamente l’Establishment Criterion (criterio dello stabilimento sul territorio) e il Targeting Criterion (criterio della collocazione fisica e geografica degli interessati). A tali criteri deve essere aggiunto quello del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. Nello specifico, con riferimento al primo criterio, il paragrafo 1 dell’art. 3 GDPR stabilisce che il regolamento si applica “al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”. L’EDPB profila un triplice approccio per determinare se il trattamento dei dati personali rientri o meno nell’ambito di applicazione del GDPR ai sensi dell’articolo 3, paragrafo 1: a) la definizione di “stabilimento” deve essere intesa in senso ampio, soprattutto nei casi che riguardano la fornitura di servizi online. Di conseguenza, in alcune circostanze, la presenza nell’Unione Europea di un solo dipendente o agente di un ente situato extra UE, che agisca con un grado sufficiente di autorità ed autonomia, nonché di stabilità, può essere sufficiente ad integrare uno stabilimento. Al contrario, la semplice presenza di un dipendente nell’UE, quando il trattamento non viene effettuato nel contesto delle attività del dipendente, non comporterà che il trattamento rientri nel campo di applicazione del GDPR. Per esempio: una casa automobilistica americana apre una filiale a Bruxelles: in questo caso, le relative attività ricadono nell’ambito del GDPR, essendoci una stabile organizzazione (la filiale) nell’UE; b) il titolare del trattamento o il responsabile del trattamento saranno soggetti agli obblighi del GDPR ogniqualvolta il trattamento sarà realizzato “in the context of the activities”, cioè quando il trattamento interesserà in termini strumentali la loro attività. Si potrebbe fare l’esempio di un sito di e-commerce gestito da un’azienda con sede in Cina: se da un lato le attività di trattamento vengono svolte esclusivamente in Cina, dall’altro l’azienda dispone di un ufficio europeo con sede a Berlino che conduce campagne di marketing dirette verso i mercati europei. L’EDPB afferma che, in questo caso, le attività dell’ufficio di Berlino sono “inestricabilmente collegate” all’elaborazione di dati personali del sito web di e-commerce cinese nella misura in cui la campagna di marketing verso l’UE renda redditizio il servizio offerto dal sito web. Il trattamento dei dati personali da parte del sito web cinese può quindi essere considerato come svolto nel contesto delle attività dell’ufficio di Berlino, e pertanto soggetto al GDPR; c) il GDPR specifica che il regolamento si applica al trattamento nell’ambito delle attività di uno stabilimento situato nell’UE “indipendentemente dal fatto che il trattamento avvenga o meno nell’Unione“. L’EPDB precisa, dunque, che l’applicazione della normativa prescinde dall’ubicazione o dalla nazionalità dell’interessato i cui i dati personali sono in corso di trattamento; d) la presenza del responsabile del trattamento nel territorio dell’UE non si traduce necessariamente nello stabilimento ai fini dell’individuazione dell’ambito di applicazione del GDPR. Se, invece, il titolare del trattamento soggetto al GDPR sceglie di avvalersi di un responsabile del trattamento situato al di fuori dell’Unione per una determinata attività di trattamento, sarà comunque necessario che il titolare del trattamento garantisca che il responsabile del trattamento tratti i dati conformemente al GDPR. Ad esempio: un istituto di ricerca finlandese conduce ricerche sul popolo Sami. L’istituto lancia un progetto che riguarda solo i Sami in Russia. Per questo progetto l’istituto si avvale di un responsabile del trattamento con sede in Canada. Sebbene il GDPR non si applichi direttamente al responsabile del trattamento canadese, il titolare del trattamento finlandese è tenuto a dare attuazione al GDPR in quanto stabilito nel territorio dell’Unione Europea, con la conseguenza che gli obblighi saranno impartiti anche al soggetto responsabile. Con riferimento al secondo criterio, invece, esso si focalizza sulla collocazione fisica e geografica degli interessati. A prescindere dallo stabilimento del titolare, dunque, la sola circostanza del trattamento di dati di cittadini dell’Unione Europea integra l’applicabilità della normativa. In particolare tale criterio si applica al settore radiotelevisivo, in base al quale sono soggetti al GDPR i trattamenti di dati effettuati nell’ambito di servizi diretti a interessati nell’Unione ovvero del monitoraggio di tali tipologie di servizi, anche se il titolare o il responsabile non sono stabiliti nell’Unione. Un altro esempio di applicazione del secondo criterio è reso dai servizi degli OTT ovvero “imprese prive di una propria infrastruttura e che in tal senso agiscono al di sopra delle reti, da cui Over-The-Top”, non aventi stabilimento in Europa ma che offrono, anche a pagamento, servizi diretti a soggetti siti nell’Unione (quali Google o Facebook). Ciò detto sui primi due criteri, l’EDPB precisa che il GDPR si applichi al trattamento dei dati personali effettuato dalle ambasciate e dai consolati degli Stati membri situati al di fuori dell’UE, in quanto tale trattamento rientra nell’ambito di competenza della Commissione. Caso diverso quello in cui, in virtù delle disposizioni di diritto internazionale, taluni enti, organismi o organizzazioni stabiliti nell’Unione beneficiano di privilegi e immunità quali quelli previsti dalla Convenzione di Vienna sulle relazioni diplomatiche. Analizzati i criteri, è opportuno menzionare il tema della nomina del rappresentante stabilito. La nomina da parte di titolari e responsabili del trattamento di un proprio rappresentante stabilito in uno degli Stati membri dell’Unione Europea è uno degli obblighi da rispettare per conformarsi al GDPR. Il rappresentante può essere una persona fisica o giuridica stabilita nell’Unione in grado di rappresentare titolare o responsabile del trattamento dei dati stabilito al di fuori dell’Unione in relazione ai rispettivi obblighi previsti dal GDPR. L’EDPB specifica che la funzione del rappresentante non è assolutamente compatibile con quella del DPO: quest’ultimo – per definizione –  gode di autonomia decisionale ed estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento. Un esempio di nomina obbligatoria è il seguente: un e-commerce gestito da un’azienda con sede in Turchia offre servizi per la creazione, l’edizione, la stampa e la spedizione di album di foto di famiglia personalizzati. Il sito Web è disponibile in inglese, francese, olandese e tedesco e i pagamenti possono essere effettuati in euro o sterline. Il sito web indica che gli album fotografici possono essere consegnati solo per posta nel Regno Unito, in Francia e in Germania. Tale sito Web ai sensi dell’articolo 3, paragrafo 2, lettera a) è soggetto al GDPR: il titolare dovrà nominare un rappresentante stabilito in uno degli Stati membri in cui è disponibile il servizio offerto, quindi Regno Unito, Francia, Belgio, Paesi Bassi, Lussemburgo o Germania. Il nome ed altre informazioni del responsabile del trattamento dei dati devono far parte delle informazioni rese disponibili online agli interessati una volta che hanno iniziato ad usufruire del servizio creando il loro album fotografico. Al contempo l’art. 27, paragrafo 2 del GDPR prevede una deroga alla nomina obbligatoria del rappresentante nell’Unione da parte del titolare o del responsabile del trattamento quando “il trattamento è occasionale, non include, su larga scala, il trattamento di categorie speciali di dati di cui all’articolo 9, paragrafo 1, o il trattamento di dati personali relativi a condanne penali e reati di cui all’articolo 10“, ed ancora quando  il trattamento è effettuato da un’autorità o un ente pubblico. Nei casi in cui una parte significativa degli interessati si trovino in un determinato Stato membro, l’EDPB raccomanda che il rappresentante sia stabilito in quello stesso Stato membro. Per concludere le linee guida sull’ambito di applicazione territoriale del GDPR fanno riferimento ad obblighi e responsabilità del rappresentante. Il rappresentante agisce per conto del titolare del trattamento o del responsabile del trattamento e facilita la comunicazione tra gli interessati e il titolare o responsabile del trattamento. Se necessario, con l’aiuto di un proprio team, il rappresentante comunica con gli interessati e coopera con le autorità di controllo interessate.

Il delicato equilibrio del diritto all’oblio: pubblicate le nuove Linee Guida per i motori di ricerca

Avv. Vincenzo Colarocco

Concordemente con quanto previsto ai sensi dell’art. 70, par. 1, lett. e) del Regolamento UE 679/2016 (“GDPR”), il Comitato Europeo per la protezione dei dati (“EDPB” o il “Comitato”), in data 2 dicembre 2019, ha adottato delle linee guida riguardo al rapporto tra diritto all’oblio e motori di ricerca (in seguito le “Linee Guida”, rinvenibili, in lingua inglese, al seguente link: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-52019-criteria-right-be-forgotten-search_it). Obiettivo delle Linee Guida è quello di fornire una corretta interpretazione del diritto all’oblio (ex art. 17 GDPR) e del diritto di opposizione al trattamento (ex art. 21 GDPR) alla luce di quanto statuito dalla Corte di Giustizia Europea all’esito del noto caso C-131/12 (Google Spain SL e Google Inc. c. Agencia Española de Protección de Datos “AEPD” e Mario Costeja González, sentenza del 13 maggio 2014). In premessa l’EDPB evidenzia come ciascuna richiesta di cancellazione dovrà rintracciare la propria legittimazione nell’ampio novero di casistiche previste dall’art. 17 GDPR, precisando come, nella prassi, risulteranno più frequenti – nonché più pertinenti – alcune basi legali piuttosto che altre. Ad esempio il Comitato sottolinea come, nel caso in cui un interessato ritenga che una notizia a sé afferente risulti ormai obsoleta, potrà motivare la propria richiesta di oblio dai motori di ricerca in forza della previsione di cui all’art. 17, par. 1, lett. a) GDPR concernente i casi in cui i “dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati”. Al contrario, sembra improbabile che una richiesta di cancellazione venga presentata in forza di una revoca del consenso in precedenza espresso (ex art. 17, par. 1, lett. b) GDPR) poiché, qualora effettivamente sussista un consenso a legittimare il trattamento, tale consenso sarà stato fornitore all’editore web e non al motore di ricerca che indicizza i dati. Le Linee Guida, quindi, si concentrano sulle ipotesi in cui, in linea con quanto disposto ai sensi dell’art. 17, par. 3, GDPR i titolari del trattamento possono non dar seguito ad una richiesta di cancellazione. Tra le dette circostanze – complessivamente ricavabili dal summenzionato articolo – l’EDPB si focalizza sulla casistica più complessa: il bilanciamento tra il diritto all’oblio e il diritto alla libertà di espressione e di informazione rilevando come, inevitabilmente, nell’ambito della detta valutazione, rileveranno una pluralità di fattori quali: la natura dei dati in questione ed il relativo grado di “sensibilità”; il concreto interesse degli utenti di internet nell’accedere alle informazioni di cui si richiede la cancellazione; l’eventuale ruolo pubblico rivestito dall’interessato richiedente.