Applicazione territoriale G.D.P.R.
Un documento recentemente diffuso dal Comitato Europeo per la protezione dei dati fornisce importanti precisazioni sull’ambito di applicazione territoriale del G.D.P.R. (General Data Protection Regulation) di cui all’art. 3 del medesimo.
Difatti, l’interpretazione dell’articolo in questione risultava, per certi aspetti, piuttosto complessa.
Il G.D.P.R., infatti, definisce l’ambito territoriale del regolamento sulla base di due criteri principali: il criterio di “stabilimento”, come previsto al comma 1, ed il criterio di destinatari dei beni o dei servizi aperti, di cui al comma 2 del medesimo articolo.
Il primo di questi stabilisce che il regolamento si applica “al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.
Il secondo criterio, invece, sancisce l’applicazione del G.D.P.R. a quei trattamenti dei dati personali di interessati che si trovano nell’Unione, effettuato da Titolari o Responsabili che non siano stabiliti all’interno dell’Unione qualora:
– l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure:
– il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Il Comitato, al fine di illustrare il funzionamento della norma, ha utilizzato degli esempi pratici, che aiutano a comprendere l’applicazione pratica della norma.
Primo esempio:
Un’azienda produttrice di automobili con sede principale negli Stati Uniti possiede una filiale, di sua proprietà, con relativi uffici, a Bruxelles. Quest’ultima supervisiona le attività svolte in Europa, incluso il marketing e le pubblicità.
La filiale belga può essere considerata come una filiale operativa a tutti gli effetti all’interno dell’Unione Europea, la quale compie attività di natura economica nei confronti dei clienti europei. Di conseguenza, la filiale belga può essere considerata un’azienda con sede all’interno del territorio dell’Unione Europea, con conseguente applicazione del G.D.P.R.
Secondo esempio
Un sito internet relativo ad attività e-commerce è gestito da un’azienda con sede in Cina, dove viene svolta ogni attività di trattamento dei dati. L’azienda apre un a Berlino, per effettuare una valutazione commerciale del mercato europeo, valutando la realizzazione di campagne marketing.
In questo caso, le attività di Berlino sono intimamente connesse con il trattamento di dati personali, svolto in Cina, quantomeno per il fatto che le attività di valutazione del mercato e le campagne di marketing, dirette al mercato europeo, sono finalizzate a valutare la l’efficacia del sito internet all’interno dell’Unione Europea. Il trattamento di dati svolto in Cina viene quindi diretto ad interessati che hanno sede in Europa. Di conseguenza, si può affermare che il trattamento debba essere effettuato in conformità a quanto indicato dal G.D.P.R.
Terzo esempio
Una catena di hotel, con sede in Africa del sud, invia proposte attraverso il proprio sito internet a clienti residenti all’interno dell’Unione Europea, utilizzando varie lingue, come l’inglese, il tedesco, il francese e lo spagnolo. L’azienda non ha uffici o contatti di rappresentanza in Europa.
In tal caso, l’assenza di qualsiasi sede, anche di rappresentanza, all’interno dell’Unione Europea certifica che nessun trattamento di dati personale viene effettuato in tale territorio. Con ciò chiarendo come l’azienda Sudafricana non disponga di un punto di riferimento stabile nell’ambito dell’Unione Europea. Sicché, questo trattamento non può essere assoggettato alle regole previste dal G.D.P.R.
Quarto esempio
Una start-up Statunitense, sprovvista di qualunque presenza fisica oppure ufficio di rappresentanza in Europa, offre una App per la mappatura di una città, destinata ai turisti. Tale App tratta dati relativi alla ubicazione dei turisti medesimi che usano la relativa mappa, non appena essi avviano l’applicazione stessa, offrendo a questi pubblicità mirate inerenti ai luoghi ove transita il turista. L’App è disponibile per chiunque visiti New York, San Francisco, Toronto, Londra, Parigi o Roma.
L’azienda offre dunque dei servizi a persone che si trovano all’interno del territorio dell’Unione Europea, specialmente in relazione a chi si trova a Londra, Parigi e Roma. In tal caso, il trattamento di dati personali rientra nell’ambito dell’offerta di servizi all’interno dell’Unione Europea, ai sensi dell’articolo 3 comma 2 del G.D.P.R. e quindi è soggetto alla normativa europea sul trattamento dei dati.