Articoli

Dove si applica il GDPR? Pubblicate le linee guida sull’ambito di applicazione territoriale

Avv. Vincenzo Colarocco

L’European Data Protection Board (EDPB), a seguito della quindicesima sessione plenaria tenutasi lo scorso 12 e 13 novembre, ha adottato la versione definitiva delle Linee Guida sull’ambito territoriale del Regolamento europeo n. 679/2016, meglio noto come “GDPR”, volte a delineare il corretto modus operandi in specifici casi affetti da criticità. Il testo fornisce un’importante interpretazione dell’art. 3 del GDPR, di certo ausilio per tutte le aziende che operano al di fuori del territorio dell’Unione Europea. La norma introduce due criteri alternativi per l’individuazione dell’ambito di applicazione territoriale, rispettivamente l’Establishment Criterion (criterio dello stabilimento sul territorio) e il Targeting Criterion (criterio della collocazione fisica e geografica degli interessati). A tali criteri deve essere aggiunto quello del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. Nello specifico, con riferimento al primo criterio, il paragrafo 1 dell’art. 3 GDPR stabilisce che il regolamento si applica “al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”. L’EDPB profila un triplice approccio per determinare se il trattamento dei dati personali rientri o meno nell’ambito di applicazione del GDPR ai sensi dell’articolo 3, paragrafo 1: a) la definizione di “stabilimento” deve essere intesa in senso ampio, soprattutto nei casi che riguardano la fornitura di servizi online. Di conseguenza, in alcune circostanze, la presenza nell’Unione Europea di un solo dipendente o agente di un ente situato extra UE, che agisca con un grado sufficiente di autorità ed autonomia, nonché di stabilità, può essere sufficiente ad integrare uno stabilimento. Al contrario, la semplice presenza di un dipendente nell’UE, quando il trattamento non viene effettuato nel contesto delle attività del dipendente, non comporterà che il trattamento rientri nel campo di applicazione del GDPR. Per esempio: una casa automobilistica americana apre una filiale a Bruxelles: in questo caso, le relative attività ricadono nell’ambito del GDPR, essendoci una stabile organizzazione (la filiale) nell’UE; b) il titolare del trattamento o il responsabile del trattamento saranno soggetti agli obblighi del GDPR ogniqualvolta il trattamento sarà realizzato “in the context of the activities”, cioè quando il trattamento interesserà in termini strumentali la loro attività. Si potrebbe fare l’esempio di un sito di e-commerce gestito da un’azienda con sede in Cina: se da un lato le attività di trattamento vengono svolte esclusivamente in Cina, dall’altro l’azienda dispone di un ufficio europeo con sede a Berlino che conduce campagne di marketing dirette verso i mercati europei. L’EDPB afferma che, in questo caso, le attività dell’ufficio di Berlino sono “inestricabilmente collegate” all’elaborazione di dati personali del sito web di e-commerce cinese nella misura in cui la campagna di marketing verso l’UE renda redditizio il servizio offerto dal sito web. Il trattamento dei dati personali da parte del sito web cinese può quindi essere considerato come svolto nel contesto delle attività dell’ufficio di Berlino, e pertanto soggetto al GDPR; c) il GDPR specifica che il regolamento si applica al trattamento nell’ambito delle attività di uno stabilimento situato nell’UE “indipendentemente dal fatto che il trattamento avvenga o meno nell’Unione“. L’EPDB precisa, dunque, che l’applicazione della normativa prescinde dall’ubicazione o dalla nazionalità dell’interessato i cui i dati personali sono in corso di trattamento; d) la presenza del responsabile del trattamento nel territorio dell’UE non si traduce necessariamente nello stabilimento ai fini dell’individuazione dell’ambito di applicazione del GDPR. Se, invece, il titolare del trattamento soggetto al GDPR sceglie di avvalersi di un responsabile del trattamento situato al di fuori dell’Unione per una determinata attività di trattamento, sarà comunque necessario che il titolare del trattamento garantisca che il responsabile del trattamento tratti i dati conformemente al GDPR. Ad esempio: un istituto di ricerca finlandese conduce ricerche sul popolo Sami. L’istituto lancia un progetto che riguarda solo i Sami in Russia. Per questo progetto l’istituto si avvale di un responsabile del trattamento con sede in Canada. Sebbene il GDPR non si applichi direttamente al responsabile del trattamento canadese, il titolare del trattamento finlandese è tenuto a dare attuazione al GDPR in quanto stabilito nel territorio dell’Unione Europea, con la conseguenza che gli obblighi saranno impartiti anche al soggetto responsabile. Con riferimento al secondo criterio, invece, esso si focalizza sulla collocazione fisica e geografica degli interessati. A prescindere dallo stabilimento del titolare, dunque, la sola circostanza del trattamento di dati di cittadini dell’Unione Europea integra l’applicabilità della normativa. In particolare tale criterio si applica al settore radiotelevisivo, in base al quale sono soggetti al GDPR i trattamenti di dati effettuati nell’ambito di servizi diretti a interessati nell’Unione ovvero del monitoraggio di tali tipologie di servizi, anche se il titolare o il responsabile non sono stabiliti nell’Unione. Un altro esempio di applicazione del secondo criterio è reso dai servizi degli OTT ovvero “imprese prive di una propria infrastruttura e che in tal senso agiscono al di sopra delle reti, da cui Over-The-Top”, non aventi stabilimento in Europa ma che offrono, anche a pagamento, servizi diretti a soggetti siti nell’Unione (quali Google o Facebook). Ciò detto sui primi due criteri, l’EDPB precisa che il GDPR si applichi al trattamento dei dati personali effettuato dalle ambasciate e dai consolati degli Stati membri situati al di fuori dell’UE, in quanto tale trattamento rientra nell’ambito di competenza della Commissione. Caso diverso quello in cui, in virtù delle disposizioni di diritto internazionale, taluni enti, organismi o organizzazioni stabiliti nell’Unione beneficiano di privilegi e immunità quali quelli previsti dalla Convenzione di Vienna sulle relazioni diplomatiche. Analizzati i criteri, è opportuno menzionare il tema della nomina del rappresentante stabilito. La nomina da parte di titolari e responsabili del trattamento di un proprio rappresentante stabilito in uno degli Stati membri dell’Unione Europea è uno degli obblighi da rispettare per conformarsi al GDPR. Il rappresentante può essere una persona fisica o giuridica stabilita nell’Unione in grado di rappresentare titolare o responsabile del trattamento dei dati stabilito al di fuori dell’Unione in relazione ai rispettivi obblighi previsti dal GDPR. L’EDPB specifica che la funzione del rappresentante non è assolutamente compatibile con quella del DPO: quest’ultimo – per definizione –  gode di autonomia decisionale ed estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento. Un esempio di nomina obbligatoria è il seguente: un e-commerce gestito da un’azienda con sede in Turchia offre servizi per la creazione, l’edizione, la stampa e la spedizione di album di foto di famiglia personalizzati. Il sito Web è disponibile in inglese, francese, olandese e tedesco e i pagamenti possono essere effettuati in euro o sterline. Il sito web indica che gli album fotografici possono essere consegnati solo per posta nel Regno Unito, in Francia e in Germania. Tale sito Web ai sensi dell’articolo 3, paragrafo 2, lettera a) è soggetto al GDPR: il titolare dovrà nominare un rappresentante stabilito in uno degli Stati membri in cui è disponibile il servizio offerto, quindi Regno Unito, Francia, Belgio, Paesi Bassi, Lussemburgo o Germania. Il nome ed altre informazioni del responsabile del trattamento dei dati devono far parte delle informazioni rese disponibili online agli interessati una volta che hanno iniziato ad usufruire del servizio creando il loro album fotografico. Al contempo l’art. 27, paragrafo 2 del GDPR prevede una deroga alla nomina obbligatoria del rappresentante nell’Unione da parte del titolare o del responsabile del trattamento quando “il trattamento è occasionale, non include, su larga scala, il trattamento di categorie speciali di dati di cui all’articolo 9, paragrafo 1, o il trattamento di dati personali relativi a condanne penali e reati di cui all’articolo 10“, ed ancora quando  il trattamento è effettuato da un’autorità o un ente pubblico. Nei casi in cui una parte significativa degli interessati si trovino in un determinato Stato membro, l’EDPB raccomanda che il rappresentante sia stabilito in quello stesso Stato membro. Per concludere le linee guida sull’ambito di applicazione territoriale del GDPR fanno riferimento ad obblighi e responsabilità del rappresentante. Il rappresentante agisce per conto del titolare del trattamento o del responsabile del trattamento e facilita la comunicazione tra gli interessati e il titolare o responsabile del trattamento. Se necessario, con l’aiuto di un proprio team, il rappresentante comunica con gli interessati e coopera con le autorità di controllo interessate.

Le linee guida sull’applicazione dell’ambito territoriale del gdpr

Avv. Vincenzo Colarocco

Il testo chiarisce alcuni aspetti dell’articolo 3 del GDPR che, come noto, obbliga molti dei top player del mondo digitale al rispetto della normativa privacy europea. In concreto, infatti, come si fa a stabilire quando una società asiatica sia tenuta al rispetto del GDPR? Che dire di chi commercializza i propri prodotti tramite un portale e-commerce: l’apertura di un ufficio in Italia può essere considerata come uno stabilimento?

I Garanti Europei sono intervenuti per rispondere a questi e altri quesiti più o meno complessi, al fine di rendere agevole la comprensione e, dunque, l’applicazione della lettera della norma. L’articolo 3 del GDPR enuclea due criteri principali: quello dello “stabilimento” e quello che si basa sull’“oggetto delle attività di trattamento”. Se uno di questi due criteri è soddisfatto, troveranno applicazione le disposizioni pertinenti del GDPR. Inoltre, al paragrafo 3 conferma l’applicazione della normativa vigente in caso di trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

È evidente come le Linee Guida potranno produrre forti conseguenze tanto sulle istituzioni quanto sulle imprese europee e straniere. Per tali ragioni, il Board Europeo dei Garanti ha sottoposto il testo a consultazione pubblica prima della sua definitiva approvazione.

Si attende, pertanto, il testo definitivo che sarà sicuramente utile al fine di garantire una corretta interpretazione della norma.