GDPR: PUBBLICATE LE LINEE GUIDA SULL’ AMBITO DI APPLICAZIONE TERRITORIALE

27/11/2019

Nel corso della sua 15esima sessione plenaria (12-13 novembre 2019), il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB) ha adottato la versione definitiva delle linee-guida sull’ambito territoriale, precedentemente sottoposte a consultazione pubblica il 16 novembre 2018. Le linee-guida forniscono chiarimenti sull’applicazione del Regolamento Ue 2016/679 nonché una serie di esempi volti a chiarire l’ambito di applicazione del medesimo regolamento tanto nel caso in cui venga in rilievo l’art. 3.1 (criterio dello stabilimento sul territorio) che l’art. 3.2 (criterio del targeting), oppure l’applicazione dell’art. 3.3 (criterio del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico).

 

L’art. 3 GDPR e considerazioni generali

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha recentemente pubblicato in via definitiva le linee guida per la corretta lettura e interpretazione dell’art. 3 del Reg. UE 679/2019 (meglio noto come “GDPR”), il quale definisce il campo di applicazione territoriale del regolamento sulla base di due criteri principali: il criterio di stabilimento (“establishment criterion”) e il criterio di collocazione fisica e geografica degli interessati (“targeting criterion”) ed estende l’applicabilità del regolamento al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

Tale importante norma riflette l’intenzione del legislatore di garantire una protezione completa dei diritti degli interessati nell’UE e di stabilire condizioni di parità di condizioni per le imprese attive sui mercati dell’UE, in un contesto di flussi di dati che ormai avviene costantemente a livello mondiale. Essa ha tuttavia fatto sorgere una serie di dubbi interpretativi che le recenti linee guida mirano a risolvere, rappresentando un vademecum essenziale per tutte le aziende che operano al di fuori del territorio dell’Unione Europea e che hanno necessità di comprendere se la propria attività rientri o meno nell’ambito di applicazione del GDPR.

Il documento di 28 pagine prodotto dall’EDPB, al momento disponibile solamente in lingua inglese, è dettagliato e include una serie di esempi pratici per agevolarne la comprensione.

Le linee Guida dell’EDPB

‍‍1 – Il criterio dello stabilimento del titolare o del responsabile

Con riferimento al primo criterio, il comma 1 dell’art. 3 GDPR stabilisce che il regolamento si applica “al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

In sostanza, affinché sia applicabile il regolamento, è sufficiente la presenza in territorio dell’Unione, per mezzo di uno stabilimento, di un titolare o di un responsabile e il fatto che il trattamento avvenga nel contesto delle attività di quello stabilimento, indipendentemente dal luogo o dalla nazionalità dell’interessato i cui dati personali sono trattati. Si tenga presente che, ai sensi del Considerando 22, lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile, senza che sia determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

Le linee guida dell’EDPB chiariscono che la definizione di “organizzazione stabile” deve essere intesa in senso ampio, soprattutto nei casi che riguardano la fornitura di servizi online. Di conseguenza, in alcune circostanze, la presenza in Unione di un solo dipendente o agente di un ente extra UE, che agisce con un grado sufficiente di stabilità, può essere sufficiente a costituire un’organizzazione stabile. Al contrario, la semplice presenza di un dipendente nell’UE quando il trattamento non viene effettuato nel contesto delle attività del dipendente, non comporterà che il trattamento rientri nel campo di applicazione del GDPR.

Per determinare se il trattamento è effettuato da un titolare o responsabile del trattamento nell’ambito del suo stabilimento nell’Unione è necessario analizzare caso per caso, ma le linee guida forniscono alcuni criteri da prendere in considerazione come il rapporto tra un titolare o responsabile del trattamento al di fuori dell’Unione e la sua sede locale nell’Unione e la raccolta di ricavi all’interno dell’UE.

L’esistenza di una relazione tra il titolare del trattamento e il responsabile non comporta necessariamente l’applicazione del GDPR ad entrambi, qualora uno di questi due soggetti non sia stabilito nell’Unione. Se un titolare del trattamento soggetto al GDPR sceglie di utilizzare un responsabile del trattamento situato al di fuori dell’Unione per una determinata attività di trattamento, sarà comunque necessario che il titolare del trattamento garantisca, per contratto o altro atto giuridico ex art. 28 GDPR, che il responsabile del trattamento tratti i dati conformemente al GDPR. L’incaricato del trattamento situato al di fuori dell’Unione sarà quindi indirettamente soggetto ad alcuni obblighi imposti dai responsabili del trattamento soggetti al GDPR in virtù degli accordi contrattuali.

Nel caso di un responsabile del trattamento stabilito nell’Unione che effettua il trattamento per conto di un titolare del trattamento stabilito al di fuori dell’Unione e non soggetto al GDPR, l’EDPB ritiene che le attività di trattamento del responsabile del trattamento non sarebbero considerate come rientranti nell’ambito territoriale del GDPR (art. 3.2) per il solo fatto che sono trattate per suo conto da un incaricato del trattamento stabilito nell’Unione. Tuttavia, anche se il titolare del trattamento non è stabilito nell’Unione e non è soggetto alle disposizioni del GDPR di cui all’articolo 3, paragrafo 2, l’incaricato del trattamento, così come è stabilito nell’Unione, sarà soggetto alle pertinenti disposizioni del GDPR di cui all’articolo 3, paragrafo 1.

‍‍2 – Il criterio della collocazione fisica e geografica degli interessati

Il comma 2 dell’art. 3 GDPR stabilisce che il regolamento si applica se i destinatari dei trattamenti dei dati personali sono soggetti che si trovano nell’Unione Europea, qualora le attività di trattamento siano connesse a: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione..

Le linee guida ritengono che l’ubicazione dell’interessato sia elemento determinante nel valutare se gli interessati che si trovano nell’UE, mentre non lo sono la nazionalità o lo status giuridico dal momento che, come precisato al Considerando 14, la protezione conferita dal regolamento dovrebbe applicarsi alle persone fisiche, indipendentemente dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali.

Il requisito dell’ubicazione deve essere valutato nel momento in cui ha luogo l’attività in questione, ossia al momento dell’offerta di beni o servizi o del monitoraggio del comportamento, indipendentemente dalla durata dell’offerta fatta o del monitoraggio effettuato.

Va inoltre osservato che il trattamento di dati personali di cittadini o residenti dell’UE che ha luogo in un paese terzo non fa scattare l’applicazione del GDPR, a condizione che il trattamento non sia legato a un’offerta specifica rivolta a singoli individui nell’UE o a un monitoraggio del loro comportamento nell’Unione.

Per valutare l’offerta di beni o servizi, che ricomprende anche i servizi della società dell’informazione, si deve tener conto nell’applicazione del criterio di destinazione, indipendentemente dal fatto che sia richiesto o meno un pagamento da parte dell’interessato.

Per determinare invece se il trattamento comporti o meno il monitoraggio del comportamento di una persona interessata, le linee guida ritengono che un criterio fondamentale sia il monitoraggio delle persone fisiche su Internet, compreso il potenziale uso successivo di tecniche di profilazione. Tale attività potrebbe comprendere un’ampia gamma di attività di controllo, come pubblicità comportamentale, attività di geolocalizzazione, in particolare a fini di marketing, tracciamento online attraverso l’uso di cookie o altre tecniche di tracciamento come il rilevamento delle impronte digitali, servizi personalizzati di analisi delle diete e della salute online, videosorveglianza, indagini di mercato e altri studi comportamentali basati su profili individuali e monitoraggio o relazioni periodiche sullo stato di salute di un individuo.

3 – Applicazione del regolamento in un luogo in cui il diritto degli Stati membri si applica in virtù del diritto internazionale

L’art. 3 comma 3 del GDPR stabilisce l’applicabilità del regolamento anche al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, e che tuttavia si trovi in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

In base alle linee guida, il GDPR pertanto si applica al trattamento dei dati personali effettuato dalle ambasciate e dai consolati degli Stati membri dell’UE situati al di fuori dell’UE.

4 – Obbligo di nomina di un rappresentante

Con riferimento all’obbligo per i titolari o responsabili del trattamento di designare un rappresentante nell’Unione, salvo le eccezioni stabilite dal regolamento, anzitutto le linee guida chiariscono che la presenza del rappresentante nell’Unione non costituisce uno “stabilimento” e che la funzione di rappresentante nell’Unione non è compatibile con il ruolo di un responsabile esterno della protezione dei dati (“RPD”), il quale deve svolgere il proprio compito con un grado sufficiente di autonomia all’interno della propria organizzazione, né con il ruolo di responsabile del trattamento per lo stesso titolare del trattamento. Le linee guida ricordano poi che, conformemente all’articolo 13, paragrafo 1, lettera a), e all’articolo 14, paragrafo 1, lettera a), nell’ambito dei loro obblighi di informazione, i titolari del trattamento devono fornire agli interessati informazioni sull’identità del loro rappresentante nell’Unione.

*****

Per maggiori approfondimenti e per l’esame dei casi pratici menzionati dalle linee guida si invita a visitare il sito del Garante ove è pubblicato il documento ufficiale (in lingua inglese) https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9192480

Margherita Stucchi