Autore: Carmine Andrea Trovato

Il 16 novembre 2018 l’European Data Protection Board (EDPB) ha adottato le Linee Guida sull’ambito di applicazione territoriale del GDPR, in consultazione fino al 18 gennaio, al fine di fornire dei criteri di interpretazione comune per tutti quei titolari e responsabili del trattamento che giocano un ruolo chiave all’interno del mercato europeo. L’art. 3 del GDPR manifesta senz’altro la volontà del legislatore di fornire una tutela della protezione dei dati personali dei soggetti del trattamento molto ampia rispetto a quella della Direttiva 95/46/CE introducendo una serie di criteri delineati di seguito.

QUANDO SI APPLICA IL GDPR

Secondo quanto previsto dall’art. 3, il GDPR si applica in 3 casi

1.      Stabilimento nel territorio dell’Unione Europea

L’art. 3(1) del GDPR prevede che “il presente regolamento è applicabile al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

Il GDPR pertanto si applica (I) a tutti i titolari che hanno almeno uno stabilimento nel territorio dell’Unione, ossia una qualsiasi organizzazione stabile, indipendentemente dalla forma giuridica, che svolga attività effettiva e reale, anche se minima, all’interno dell’Unione sempre che (II) vi sia una relazione tra l’attività dello stabilimento e quella di trattamento di dati considerate. Non è necessario dunque che l’attività svolta dallo stabilimento all’interno dell’UE coincida con il trattamento dei dati personali, essendo sufficiente la sussistenza di una connessione tra le due.

È il caso ad esempio di una piattaforma e-commerce che opera tramite una società con sede in Cina, i cui trattamenti di dati personali sono effettuati esclusivamente in Cina e che ha uno stabilimento a Berlino che si occupa della realizzazione delle campagne di marketing. Nonostante il trattamento dei dati personali concernente la piattaforma e-commerce avvenga soltanto in Cina, è innegabile che le campagne di marketing realizzate dallo stabilimento di Berlino contribuiscano a rendere il servizio offerto dalla piattaforma e-commerce più redditizio. Esiste pertanto una connessione inestricabile (inextricable link) tra l’attività dello stabilimento europeo e il trattamento di dati posto in essere dall’e-commerce cinese, con la conseguenza che il GDPR sarà applicabile nei confronti della società cinese ex art. 3(1) del GDPR.

Una volta accertata l’esistenza di uno stabilimento nel territorio UE, è irrilevante la nazionalità o la residenza dell’interessato, ossia del soggetto i cui dati vengono trattati, in quanto il GDPR trova applicazione indipendentemente da essa (Considerando 14 del GDPR).

Con riferimento alla definizione di stabilimento, vale la pena ricordare che la Corte di Giustizia dell’Unione Europea, attraverso alcune importanti sentenze, ha dato una interpretazione estensiva di tale concetto.

In particolare, possono configurarsi come stabilimento:

1. La società controllata, qualora sia possibile rilevare un legame logico tra l’attività dello stabilimento e il trattamento dei dati (Sentenza Google Spain);
2. Il rappresentante, se il medesimo “opera con un grado di stabilità sufficiente con l’ausilio dei mezzi necessari per la fornitura concreta dei servizi” (Sentenza Weltimmo).

Infine, l’EDPB sottolinea che se un titolare non stabilito nel territorio europeo nomina un responsabile del trattamento situato in UE, quest’ultimo non deve essere considerato come uno stabilimento del titolare e pertanto tale nomina non implica di per sé l’applicabilità del GDPR nei confronti del titolare stesso. Il responsabile del trattamento invece, poiché stabilito all’interno dell’Unione, sarà soggetto al GDPR.

2.      Offerta di beni e servizi o monitoraggio degli interessati 

Il GDPR si applica ugualmente ai titolari che effettuano, attraverso uno stabilimento extra UE, operazioni di trattamento di dati di interessati che si trovano nell’Unione, se le attività di tale trattamento riguardano:

1. L’offerta di beni o servizi anche a titolo gratuito agli interessati che si trovino nell’Unione. Al fine di comprendere se vi sia offerta di beni o servizi da parte del titolare, l’EDPB ha riportato alcuni criteri giurisprudenziali[1] (Linee Guida pag. 15) tra i quali rientrano ad esempio l’utilizzo di un top level domain di un paese europeo come “.de” o di uno neutro come “.eu”, l’utilizzo di una lingua o di una valuta europee, la consegna in UE dei beni venduti.
2. Il monitoraggio del comportamento degli interessati a patto che tale comportamento abbia luogo all’interno dell’Unione (si pensi all’attività di tracciamento degli interessati su internet). Rientrano tra le attività di monitoraggio del comportamento il behavioural advertisement, la geolocalizzazione, in particolare per finalità di marketing, la videosorveglianza, il tracciamento online tramite i cookie.

Sia per l’offerta di beni o servizi che per il monitoraggio dei comportamenti, ai fini dell’applicabilità del GDPR, non è necessario che gli interessati siano cittadini o residenti UE, essendo sufficiente che tali soggetti si trovino anche solo temporaneamente nel territorio europeo come potrebbe avvenire ad esempio nel corso di un viaggio.

Nei casi in cui si applichi l’art. 3(2) il titolare o il responsabile del trattamento sono tenuti poi a designare per iscritto un rappresentante nell’Unione ai sensi dell’art. 27 del GDPR.

3.      Stabilimento in luoghi soggetti al diritto di uno Stato UE 

Quest’ultimo caso, di portata residuale, riguarda tutti quei trattamenti effettuati da un titolare non stabilito all’interno del territorio UE, ma in quei luoghi che, in virtù di norme di diritto internazionale, sono comunque soggetti all’ordinamento di uno Stato membro. È il caso delle ambasciate, dei consolati, delle navi militari etc.

QUALI SONO LE DIFFERENZE CON LA DISCIPLINA PRE-GDPR

L’art. 3 del GDPR, anche grazie all’importante contributo della giurisprudenza della Corte di Giustizia dell’Unione Europea, ha apportato alcune importanti modifiche alla disciplina prevista dalla Direttiva 96/45.

Con riferimento alla definizione di stabilimento, il GDPR ha recepito l’interpretazione estensiva fornita dalla Corte Europea, confermando inoltre che, ai fini dell’applicabilità del Regolamento, non rileva soltanto lo stabilimento del titolare, ma anche quello del responsabile. La nuova normativa dunque, si distanzia in modo netto dal criterio di “ubicazione dei server” presente nella Direttiva: non sarà dunque più possibile per il titolare del trattamento richiedere la non applicazione del GDPR per il solo fatto che i server siano localizzati in un Paese extra UE.

Il Paragrafo 2 dell’art. 3, ossia quello concernente i trattamenti effettuati da un titolare stabilito in un Stato extra UE, è stato integralmente introdotto dal GDPR in recepimento delle novità apportate dalle sentenze Weltimmo e Google Spain e rappresenta senz’altro il principale elemento di discontinuità rispetto alla normativa precedente.

[1] CGUE – Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller (joined cases C-585/08 and C-144/09)

FONTI

• EDPB – Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version for public consultation – adopted on 16 November 2018;
• Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, 2017;
• D’Acquisto G., and M. Naldi, Big data e Privacy by design. Anonimizzazione, pseudonimizzazione e sicurezza, Turin, Giappicchelli, 2017;
• Bolognini L., E. Pelino, and C. Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milan, Giuffrè, 2016;
• Pizzetti F., Privacy e il diritto europeo alla protezione dei dati personali. Il Regolamento europeo 2016/679, Turin, Giappicchelli, 2016.