Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB), ha adottato la versione definitiva delle Linee guida sull’ambito di applicazione territoriale del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR).
L’articolo 3 del GDPR prevede, infatti, che questo si applichi al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
Lo stesso Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Viene infine applicato al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Nel meglio specificare il suddetto articolo 3, le Linee guida definiscono:
- il criterio dello stabilimento sul territorio;
- il criterio del targeting;
- il criterio del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Il documento permette quindi di fare chiarezza sulla competenza delle autorità nell’applicazione del regolamento europeo, consentendo di diradare i dubbi operativi derivati anche dalla portata extraterritoriale del GDPR.
APPLICAZIONE DEL CRITERIO DI STABILIMENTO – ART 3 (1)
L’articolo 3, paragrafo 1, del GDPR fa riferimento non solo allo stabilimento del titolare del trattamento, ma anche allo stabilimento di un responsabile del trattamento. Di conseguenza, il trattamento di dati personali da parte di un responsabile del trattamento può essere soggetto al diritto dell’UE in virtù del fatto che il responsabile abbia uno stabilimento situato all’interno dell’UE.
L’EDPB raccomanda un triplice approccio nel determinare se il trattamento dei dati personali rientri o meno nell’ambito di applicazione del GDPR ai sensi dell’articolo 3, paragrafo 1.
Stabilimento nell’unione
Per prima cosa occorre definire chiaramente i ruoli (titolare / responsabile), dopodiché concentrarci sulla definizione di “stabilimento”.
Mentre la nozione di “stabilimento principale” è definita nell’articolo 4, paragrafo 16, il GDPR non fornisce una definizione di “stabilimento” ai fini dell’articolo 34. Tuttavia, il considerando 22 chiarisce che “Qualsiasi trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.”
In alcune circostanze, la presenza di un singolo dipendente o agente di un’entità non UE nell’Unione può essere sufficiente per costituire un accordo stabile (equivalente a uno “stabilimento” ai fini dell’articolo 3, paragrafo 1) se tale dipendente o agente agisce con un sufficiente grado di stabilità. Al contrario, quando un dipendente ha sede nell’UE ma il trattamento non viene effettuato nel contesto delle attività del dipendente con sede nell’Unione europea (vale a dire il trattamento si riferisce alle attività del responsabile del trattamento al di fuori dell’UE), la mera la presenza di un dipendente nell’UE non comporterà che tale trattamento rientri nell’ambito di applicazione del GDPR.
Trattamento di dati personali effettuato “nell’ambito delle attività di” uno stabilimento
L’articolo 3, paragrafo 1, conferma che non è necessario che il trattamento in questione sia effettuato “dallo” stesso stabilimento dell’UE ma che il responsabile del trattamento o l’incaricato del trattamento sarà soggetto agli obblighi previsti dal GDPR ogni volta che il trattamento è effettuato “nel contesto delle attività” del suo stabilimento rilevante nell’Unione. La determinazione del trattamento effettuato nell’ambito di uno stabilimento del responsabile del trattamento nell’Unione ai fini dell’articolo 3, paragrafo 1, debba essere effettuata caso per caso e sulla base di un’analisi in concreto.
Alcune attività commerciali svolte da un’entità non UE all’interno di uno Stato membro potrebbero in effetti essere così lontane dal trattamento dei dati personali da parte di tale entità che l’esistenza dell’attività commerciale nell’UE non sarebbe sufficiente a portare il trattamento dei dati entro l’entità extracomunitaria nell’ambito di applicazione della normativa UE sulla protezione dei dati13.
Facciamo due esempi:
- Un e-commerce è gestito da una società con sede in Cina. Le attività di trattamento dei dati personali dell’azienda sono svolte esclusivamente in Cina. La società cinese ha istituito un ufficio europeo a Berlino per condurre e attuare campagne di marketing verso i mercati dell’UE.
In questo caso, si può ritenere che le attività dell’ufficio europeo di Berlino siano indissolubilmente legate al trattamento dei dati personali effettuato dal sito Web di e-commerce cinese, nella misura in cui ciò potrebbe potenzialmente essere il caso, ad esempio, per qualsiasi persona straniera operatore con un ufficio vendite o qualche altra presenza nell’UE, anche se tale ufficio non ha alcun ruolo nell’effettivo trattamento dei dati, in particolare laddove il trattamento avvenga nel contesto dell’attività di vendita nell’UE e le attività dello stabilimento sono rivolto agli abitanti degli Stati membri in cui è situato lo stabilimento (aggiornamento WP179).
- Una catena di hotel e resort in Sudafrica offre pacchetti attraverso il suo sito Web, disponibile in inglese, tedesco, francese e spagnolo. La società non ha alcun ufficio, rappresentanza o accordo stabile nell’UE.
In questo caso, in assenza di rappresentanza o disposizione stabile della catena alberghiera e resort all’interno del territorio dell’Unione, sembra che nessuna entità collegata a questo responsabile del trattamento in Sud Africa possa qualificarsi come stabilimento nell’UE ai sensi del GDPR. Pertanto il trattamento in questione non può essere soggetto alle disposizioni del GDPR, ai sensi dell’articolo 3, paragrafo 1.
Tuttavia, si deve analizzare in concreto se il trattamento effettuato da questo responsabile del trattamento stabilito al di fuori dell’UE possa essere soggetto al GDPR, ai sensi dell’articolo 3, paragrafo
Applicazione del GDPR allo stabilimento del titolare o del responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento abbia luogo o meno nell’Unione
Ai sensi dell’articolo 3, paragrafo 1, il trattamento dei dati personali nell’ambito delle attività di uno stabilimento di un responsabile del trattamento o di un responsabile nell’Unione innesca l’applicazione del GDPR e i relativi obblighi per il responsabile del trattamento o il responsabile del trattamento interessati.
Il testo del GDPR specifica che il regolamento si applica al trattamento nel contesto delle attività di uno stabilimento nell’UE “indipendentemente dal fatto che il trattamento avvenga o meno nell’Unione”. È la presenza, attraverso uno stabilimento, di un responsabile del trattamento o elaboratore di dati nell’UE e il fatto che un trattamento ha luogo nel contesto delle attività di questo stabilimento che innescano l’applicazione del GDPR alle sue attività di trattamento.
Esempio:
Una società francese ha sviluppato un’applicazione di car-sharing rivolta esclusivamente ai clienti in Marocco, Algeria e Tunisia. Il servizio è disponibile solo in questi tre paesi, ma tutte le attività di trattamento dei dati personali sono svolte dal titolare del trattamento in Francia.
Mentre la raccolta di dati personali ha luogo in paesi extra UE, il successivo trattamento di dati personali in questo caso viene effettuato nel contesto delle attività di uno stabilimento di un responsabile del trattamento dei dati nell’Unione. Pertanto, anche se il trattamento riguarda dati personali di soggetti che non si trovano nell’Unione, le disposizioni del GDPR si applicheranno al trattamento effettuato dalla società francese, ai sensi dell’articolo 3, paragrafo 1.
Applicazione del criterio dello stabilimento al titolare a al responsabile del trattamento
Secondo quanto indicato da queste linee guida, l’elaborazione da parte di ciascuna entità deve essere considerata separatamente.
L’esistenza di una relazione tra un titolare e un responsabile del trattamento non comporta necessariamente l’applicazione del GDPR ad entrambi, qualora una di queste due entità non fosse stabilita nell’Unione.
Un’organizzazione che elabora i dati personali per conto e su istruzione di un’altra organizzazione (la società cliente) fungerà da responsabile per la società cliente (il responsabile del trattamento).
Facciamo due esempi:
- Un istituto di ricerca finlandese conduce ricerche sul popolo Sami. L’istituto avvia un progetto che riguarda solo le persone Sami in Russia. Per questo progetto l’istituto utilizza un responsabile con sede in Canada.
Il titolare del trattamento finlandese ha il dovere di utilizzare solo responsabili che forniscano garanzie sufficienti per attuare le misure appropriate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la protezione dei diritti degli interessati. Il titolare del trattamento finlandese deve stipulare un accordo di elaborazione dei dati con il responsabile del trattamento canadese e i doveri del responsabile del trattamento saranno stabiliti in tale atto giuridico.
- Una società di vendita al dettaglio messicana stipula un contratto con un responsabile del trattamento stabilito in Spagna per il trattamento di dati personali relativi ai clienti della società messicana. La società messicana offre e indirizza i suoi servizi esclusivamente al mercato messicano e il suo trattamento riguarda esclusivamente soggetti di dati situati al di fuori dell’Unione.
In questo caso, la società di vendita al dettaglio messicana non prende di mira le persone sul territorio dell’Unione attraverso l’offerta di beni o servizi, né monitora il comportamento delle persone sul territorio dell’Unione. Il trattamento da parte del titolare del trattamento, stabilito al di fuori dell’Unione, non è pertanto soggetto al GDPR di cui all’articolo 3, paragrafo 2.
Le disposizioni del GDPR non si applicano al responsabile del trattamento dei dati ai sensi dell’articolo 3, paragrafo 1, in quanto non tratta i dati personali nell’ambito delle attività di uno stabilimento nell’Unione. Il responsabile del trattamento dei dati è stabilito in Spagna e pertanto il suo trattamento rientrerà nell’ambito di applicazione del GDPR ai sensi dell’articolo 3, paragrafo 1. Il responsabile del trattamento sarà tenuto a rispettare gli obblighi del responsabile imposti dal regolamento per qualsiasi trattamento effettuato nel contesto delle sue attività.
APPLICAZIONE DEL CRITERIO DI TARGETING – ART 3 (2)
L’assenza di uno stabilimento nell’Unione non significa necessariamente che le attività di trattamento di un responsabile del trattamento o di un responsabile del trattamento dei dati stabiliti in un paese terzo saranno escluse dal campo di applicazione del GDPR, poiché l’articolo 3, paragrafo 2, stabilisce le circostanze in cui il GDPR si applica a un titolare o responsabile di trattamento non stabilito nell’Unione, a seconda delle loro attività di trattamento.
Come indicato nell’art. 3(2):
“2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”
L’applicazione del “criterio di targeting” nei confronti di soggetti che si trovano nell’Unione, ai sensi dell’articolo 3, paragrafo 2, può essere innescata da attività di trattamento svolte da un responsabile del trattamento o incaricato del trattamento non stabilito nell’Unione che riguardano due distinti e alternativi tipi di attività a condizione che tali attività di trattamento si riferiscano a soggetti che si trovano nell’Unione.
La formulazione dell’articolo 3, paragrafo 2, si riferisce ai “dati personali degli interessati che si trovano nell’Unione”. L’applicazione del criterio di targeting non è quindi limitata dalla cittadinanza, dalla residenza o da altri tipi di status giuridico dell’interessato i cui dati personali sono in fase di elaborazione. Il considerando 14 conferma questa interpretazione e afferma che “[la protezione garantita dal presente regolamento dovrebbe applicarsi alle persone fisiche, di qualsiasi nazionalità o luogo di residenza, in relazione al trattamento dei loro dati personali”.
Offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione
Esempio:
- Una società australiana offre un servizio di notizie e contenuti video mobile, basato sulle preferenze e sugli interessi degli utenti. Gli utenti possono ricevere aggiornamenti giornalieri o settimanali. Il servizio è offerto esclusivamente agli utenti situati in Australia, che devono fornire un numero di telefono australiano al momento dell’iscrizione. Un abbonato australiano del servizio si reca in Germania in vacanza e continua a utilizzare il servizio.
Sebbene l’abbonato australiano utilizzerà il servizio mentre si trova nell’UE, il servizio non sta “prendendo di mira” le persone nell’Unione, ma si rivolge solo alle persone in Australia, quindi il trattamento dei dati personali da parte della società australiana non rientra nell’ambito di applicazione del GDPR.
- L’autorità canadese per l’immigrazione tratta i dati personali dei cittadini dell’UE quando entrano nel territorio canadese allo scopo di esaminare la loro domanda di visto. Questo trattamento non è soggetto al GDPR.
È importante ricordare che il considerando 23 conferma che la semplice accessibilità del sito web di un titolare, responsabile o di un intermediario nell’Unione, la menzione sul sito web della sua e-mail o indirizzo geografico o del suo numero di telefono senza un codice internazionale, di per sé, non fornisce prove sufficienti per dimostrare l’intenzione del titolare o del responsabile del trattamento di offrire beni o servizi a una persona interessata situata nell’Unione. In tale contesto, l’EDPB ricorda che quando beni o servizi vengono forniti inavvertitamente o incidentalmente a una persona nel territorio dell’Unione, il relativo trattamento di dati personali non rientrerebbe nell’ambito territoriale del GDPR.
Monitoraggio del comportamento degli interessati
Il secondo tipo di attività che innesca l’applicazione dell’articolo 3, paragrafo 2, è il monitoraggio del comportamento dell’interessato nella misura in cui il suo comportamento si svolge all’interno dell’Unione.
Il considerando 24 chiarisce che “il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione.”
Affinché l’articolo 3, paragrafo 2, lettera b), possa innescare l’applicazione del regolamento generale sulla protezione dei dati, il comportamento monitorato deve innanzitutto riguardare una persona interessata nell’Unione e, come criterio cumulativo, il comportamento monitorato deve aver luogo nel territorio dell’Unione.
La natura dell’attività di trattamento che può essere considerata come monitoraggio comportamentale è ulteriormente specificata nel Considerando 24 che afferma che “per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”. L’EDPB ritiene che il tracciamento attraverso altri tipi di reti o tecnologie che comportano il trattamento di dati personali debba essere preso in considerazione nel determinare se un’attività di trattamento equivale a un comportamento monitoraggio, ad esempio attraverso dispositivi intelligenti indossabili.
Dati attività di monitoraggio potrebbero comprendere, a titolo di esempio:
- Pubblicità comportamentale;
- Attività di geolocalizzazione, in particolare a fini di marketing;
- Tracciamento online tramite l’uso di cookie o altre tecniche di tracciamento come l’impronta digitale;
- Servizi personalizzati di analisi della dieta e della salute online;
- Videosorveglianza;
- Indagini di mercato e altri studi comportamentali basati su profili individuali;
- Monitoraggio o rapporti periodici sullo stato di salute di una persona.
Laddove le attività di trattamento di un responsabile si riferiscano all’offerta di beni o servizi o al monitoraggio del comportamento delle persone nell’Unione (“targeting”), qualsiasi responsabile, anche al di fuori dell’Unione, incaricato di svolgere tale attività di trattamento per conto del titolare del trattamento rientrerà nell’ambito di applicazione del GDPR.
TRATTAMENTO IN UN LUOGO SOGGETTO AL DIRITTO DI UNO STATO MEMBRO IN VIRTÙ DEL DIRITTO INTERNAZIONALE PUBBLICO
L’articolo 3, paragrafo 3, prevede che “il Regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico “.
Questa disposizione è ampliata nel considerando 25 che afferma che “Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un titolare del trattamento non stabilito nell’Unione.”.
L’EDPB ritiene pertanto che il GDPR si applichi al trattamento dei dati personali effettuato dalle ambasciate e dai consolati degli Stati membri dell’UE situati al di fuori dell’UE in quanto tale trattamento rientra nell’ambito di applicazione del GDPR in virtù dell’articolo 3, paragrafo 3. Il diplomatico di uno Stato membro o posta consolare, in qualità di responsabile del trattamento o elaboratore di dati, sarebbe quindi soggetto a tutte le disposizioni pertinenti del GDPR, anche per quanto riguarda i diritti dell’interessato, gli obblighi generali relativi al responsabile del trattamento e al responsabile del trattamento e i trasferimenti di dati personali a paesi terzi o organizzazioni internazionali.
Vi sono alcune eccezioni per quelle entità, organismi o organizzazioni stabilite nell’Unione che beneficiano di privilegi e immunità come quelli stabiliti nella Convenzione di Vienna sulle relazioni diplomatiche e consolari.
IL RAPPRESENTANTE DEL TITOLARE E/O DEL RESPONSABILE NON STABILITO NELL’UNIONE
I titolari / responsabili di trattamento non stabiliti nell’unione soggetti al GDPR hanno l’obbligo di designare un rappresentante nell’Unione, a meno che non soddisfino i criteri di esenzione di cui all’articolo 27, paragrafo 2:
“2. L’obbligo di cui al paragrafo 1 del presente articolo non si applica:
- al trattamento se quest’ultimo è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento; oppure
- alle autorità pubbliche o agli organismi pubblici.”
Designazione di un rappresentante
Il considerando 80 chiarisce che “Il rappresentante dovrebbe essere esplicitamente designato mediante mandato scritto del titolare del trattamento o del responsabile del trattamento ad agire per conto di questi ultimi con riguardo agli obblighi che a questi derivano dal presente regolamento. La designazione di tale rappresentante non incide sulla responsabilità generale del titolare del trattamento o del responsabile del trattamento ai sensi del presente regolamento. Tale rappresentante dovrebbe svolgere i suoi compiti nel rispetto del mandato conferitogli dal titolare del trattamento o dal responsabile del trattamento, anche per quanto riguarda la cooperazione con le autorità di controllo competenti per qualsiasi misura adottata al fine di garantire il rispetto del presente regolamento.”
L’EDPB non considera la funzione di rappresentante nell’Unione compatibile con il ruolo di un responsabile della protezione dei dati (“DPO”). L’articolo 38, paragrafo 3, stabilisce alcune garanzie di base per aiutare a garantire che i DPO siano in grado di svolgere i loro compiti con un grado sufficiente di autonomia all’interno della loro organizzazione.
Il rappresentante è incaricato dal titolare o dal responsabile di trattamento che quindi rappresenta e agisce per suo conto nell’esercizio delle sue funzioni, e tale ruolo non può essere compatibile con lo svolgimento delle funzioni e dei compiti del responsabile della protezione dei dati in modo indipendente.
Comunicazione della designazione
Sebbene il GDPR non imponga alcun obbligo di notifica circa la designazione del rappresentante, l’EDPB ricorda che, ai sensi dell’articolo 13, paragrafo 1, lettera a), e dell’articolo 14, paragrafo 1, lettera a), come parte degli obblighi di informazione, il titolare del trattamento fornisce agli interessati informazioni sull’identità del suo rappresentante nell’Unione. Tali informazioni devono ad esempio essere incluse nelle informative e nelle informazioni iniziali fornite agli interessati. Non dare informazioni circa l’identità di un rappresentante sarebbe quindi in violazione con gli obblighi di trasparenza ai sensi del GDPR. Tali informazioni dovrebbero inoltre essere facilmente accessibili alle autorità di vigilanza al fine di facilitare la creazione di un contatto per le esigenze di cooperazione.
Obblighi e responsabilità del rappresentante
Il rappresentante nell’Unione agisce per conto del titolare o del responsabile del trattamento che rappresenta in relazione agli obblighi del suddetto titolare o ai sensi del GDPR. Ciò implica in particolare gli obblighi relativi all’esercizio dei diritti dell’interessato e, a tale proposito e come già affermato, l’identità e i dati di contatto del rappresentante devono essere forniti agli interessati conformemente agli articoli 13 e 14.
Pur non essendo esso stesso responsabile nel rispetto dei diritti dell’interessato, il rappresentante deve facilitare la comunicazione tra gli interessati e il titolare / responsabile, al fine di rendere effettivo l’esercizio dei diritti degli interessati.
Ai sensi dell’articolo 30, il rappresentante conserva un registro delle attività di trattamento sotto la responsabilità del titolare / responsabile del trattamento.
Come chiarito dal considerando 80, il rappresentante dovrebbe anche svolgere i propri compiti secondo il mandato ricevuto dal titolare / responsabile del trattamento, compresa la cooperazione con le autorità di controllo competenti in merito a qualsiasi azione intrapresa per garantire la conformità al presente regolamento.
Se necessario, il rappresentante nell’Unione deve essere in grado di comunicare efficacemente con gli interessati e di cooperare con le autorità di controllo interessate. Ciò significa che in linea di principio tale comunicazione dovrebbe avvenire nella lingua o nelle lingue utilizzate dalle autorità di controllo e dalle persone interessate o, qualora ciò comporti uno sforzo sproporzionato, che il rappresentante utilizzi altri mezzi e tecniche per garantire l’efficacia della comunicazione.
Il GDPR non stabilisce una responsabilità sostitutiva del rappresentante al posto del titolare / responsabile del trattamento che rappresenta nell’Unione.
L’EDPB sottolinea inoltre che l’articolo 50 del GDPR mira in particolare a facilitare l’applicazione della legislazione nei confronti dei paesi terzi e dell’organizzazione internazionale e che è attualmente allo studio lo sviluppo di ulteriori meccanismi di cooperazione internazionale a tale riguardo.
Link utili:
- Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version adopted after public consultation: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_en
