Lo scorso 16 novembre, il Comitato Europeo per la Protezione dei Dati Personali (European Data Protection Board, “EDPB”) – l’organismo UE che ha sostituito il precedente c.d. WP29, incaricato della coerente applicazione del Regolamento UE 679/16 (“GDPR” o “Regolamento”) e composto dal responsabile di ciascuna autorità per la protezione dei dati e dal Garante Europeo della Protezione dei Dati – ha adottato un nuovo progetto (n. 3/2018) di linee guida (il “Progetto”), in merito all’ambito di applicazione territoriale del GDPR.
Si tratta di un documento, molto dettagliato – esemplificativo – e corposo, ad oggi disponibile solo in lingua inglese.
I riferimenti normativi
L’EDPB fornisce, innanzitutto, importanti chiarimenti in merito alle previsioni di cui agli articoli 3, 27 e 28, nonché al Considerando 80 del GDPR.
Secondo l’art. 3 rientra nel campo di applicazione del Regolamento il trattamento di dati personali – effettuato nell’ambito delle attività di uno stabilimento – da un titolare o di un responsabile del trattamento nella Unione, indipendentemente dal fatto che detto trattamento sia effettuato o meno all’interno della stessa.
L’applicabilità del Regolamento è prevista anche in presenza di trattamento di dati personali di interessati che si trovino nella UE, effettuato da un titolare o da un responsabile del trattamento non stabiliti sul territorio europeo. Ciò nel caso in cui le attività di trattamento riguardino (i) l’offerta di beni o la prestazione di servizi ai suddetti interessati in UE, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, oppure (ii) il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno della UE.
Infine, ai sensi del suddetto art. 3, il GDPR si applica allorquando il trattamento dei dati personali venga effettuato da un titolare non stabilito nella UE ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Gli artt. 27 e 28 nonché il Considerando 80 del Regolamento definiscono il rapporto tra il titolare, il responsabile del trattamento e, specificamente, il rappresentante di tali due soggetti, nei casi in cui essi non siano “stabiliti” nella UE.
Criteri applicabili e relative esemplificazioni
I tre principali criteri che vengono dettagliati all’interno del documento in analisi, sono quelli riportati in ciascuno dei tre commi del succitato articolo 3 del GDPR, e dunque il (i) criterio dello stabilimento, il (ii) criterio della focalizzazione ed individuazione degli obiettivi (“targeting criterion”) nonché quello (iii) del diritto internazionale pubblico. Per ciascuno di tali criteri, si ritenie interessante riportare brevemente alcuni degli esempi chiarificatori così come proposti dall’EDPB.
- Stabilimento
Una società di produzione automotive con sede negli USA rientrerebbe nell’ambito applicativo del GDPR, qualora possedesse una branch in uno Stato UE a supervisione di talune operazioni (quali ad esempio il marketing) per tutta l’Europa. Ciò, se tali operazioni – alla luce della natura dell’attività economica esercitata dalla “società madre” USA – fossero considerabili quali reali ed effettive attività, qualificando la branch come effettivo stabilimento.
Ugualmente, rientrerebbe nell’ambito applicativo l’attività di trattamento esercitata (esclusivamente in Cina) da una società cinese, che vende beni o servizi worldwide tramite sito di e-commerce, qualora avesse una sede in UE incaricata di attuare “campagne di prospezione commerciale” e di marketing nei confronti dei mercati europei. In tal caso, aldilà dell’effettivo luogo ove avvenga il trattamento dei dati, la sede europea della società eserciterebbe attività inestricabilmente collegate al trattamento dei dati effettuato in Cina.
Non sarebbe applicabile il GDPR ad una catena alberghiera che offre pacchetti, in varie lingue europee, tramite sito web, qualora la stessa operi senza alcuna stabile rappresentanza nella UE e senza che l’offerta sia rivolta espressamente ai cittadini dell’Unione.
Rientrerebbe, invece, nell’ambito di applicazione del Regolamento, il trattamento dei dati di una società di noleggio auto europea che, pur offrendo i servizi di noleggio solo a clienti presenti in Paesi extra UE, tratti i dati nella propria (unica) sede europea.
Interessante infine, sul punto, l’esempio relativo ad un responsabile del trattamento (europeo) che abbia stipulato un contratto, ai sensi dell’art. 28 del GDPR, con un titolare del trattamento stabilito in un Paese extra UE, al fine di trattare per conto di quest’ultimo i dati di tutti i suoi clienti residenti fuori dalla UE. In tal caso, il GDPR non si applicherebbe al titolare, ma rientrando invece nell’ambito di applicazione il trattamento esercitato dal responsabile stabilito in UE.
- Individuazione degli obiettivi/targeting
Con riferimento a tale secondo criterio, particolarmente chiarificatori sembrano essere i seguenti esempi.
Se un cittadino USA viaggia per vacanza in Europa e qui scarica ed utilizza una App offerta da una società USA, il GDPR non troverebbe alcuna applicazione, venendo impattato (ed essendo l’effettivo target, a livello commerciale) il solo mercato statunitense.
Va notato che il trattamento dei dati di cittadini UE in un paese terzo, non determina l’applicazione del GDPR, qualora detto trattamento non sia collegato ad una specifica offerta rivolta a individui residenti in UE, o al monitoraggio del loro comportamento in ambito europeo.
Ugualmente non sarebbe applicabile il Regolamento:
– nel caso di una banca taiwanese che avesse clienti residenti a Taiwan, pur in possesso – tutti – della cittadinanza di un Paese UE, sempre nell’ottica di un servizio offerto ad un mercato non europeo; e
– al trattamento dei dati di cittadini europei da parte, ad esempio, dell’autorità canadese per l’immigrazione, qualora il trattamento sia limitato alle finalità di rilascio dei visti.
Infine, si pensi ad un sito web, basato e gestito in Turchia, che offre servizi per la creazione, edizione, stampa e spedizione di album fotografici di famiglia personalizzati. Il sito web è disponibile in inglese, francese, olandese e tedesco ed i pagamenti possono essere effettuati in euro o sterline nonché gli album fotografici possono essere consegnati solo per posta nel Regno Unito, in Francia, nei paesi del Benelux e in Germania. In tal caso, è chiaro che il trattamento effettuato dal sito web turco, come titolare, riguarda l’offerta di un servizio prestato a favore degli “interessati” stabiliti in UE. Pertanto esso è soggetto agli obblighi e alle disposizioni del GDPR. Il titolare turco è tenuto a nominare, ai sensi dell’art. 27 del Regolamento, un “rappresentante europeo”.
- Diritto internazionale pubblico
Infine, si ritiene opportuno riportare due situazioni – particolarmente esemplificative – immaginate dall’EDPB in cui il GDPR troverebbe applicazione, pur avvenendo il trattamento in un paese geograficamente non europeo, ma sottoposto alla legge UE ai sensi del diritto internazionale.
È questo il caso del Consolato olandese in Jamaica, che apre un processo di selezione e recruitment allo staff locale. In tal caso, in forza del diritto internazionale, si applicherà il GDPR.
Ugualmente si applicherebbe il Regolamento ad una nave tedesca sulla quale vengono trattati dati personali degli ospiti naviganti, al fine di offrire un servizio di intrattenimento profilato e ben attagliato alle singole esigenze degli utenti.
Conclusioni
Questo provvedimento potrebbe avere un rilevante impatto sull’attività di imprese e istituzioni che operano sempre più a livello globale e transazionale nonché servendosi di strumenti tecnologici quali siti web e e-commerce, o applicazioni e software per smartphone.
E proprio in ragione di ciò, esso è oggetto di consultazione pubblica, prima della sua approvazione definitiva. Entro il prossimo 18 gennaio sarà possibile far pervenire qualsivoglia commento, direttamente all’indirizzo mail dedicato (EDPB@edpb.europa.eu). Non resta a questo punto che attendere l’esito della consultazione.
Link correlati:
