Nuove linee guida dell’EDPB sull’applicazione territoriale del GDPR
Con la pubblicazione delle Linee Guida relative all’interpretazione dell’art. 3 del Reg. 679/2016 (GDPR), il Comitato Europeo per la Protezione dei Dati Personali (di seguito ‘EDPB’ – European Data Protection Board) ha chiarito alcuni punti importanti sull’ambito di applicazione territoriale del GDPR. L’art. 3 del Regolamento prevede, infatti, tre distinti criteri di applicazione territoriale della normativa europea in materia di privacy: 1) la presenza di uno stabilimento nell’UE; 2) il c.d. criterio del “targeting”; 3) l’applicabilità di una norma di diritto internazionale pubblico.
In base al criterio dello stabilimento, il GDPR si applica a qualsiasi trattamento di dati personali (sia esso svolto dal titolare o da responsabili del trattamento) – a prescindere dal luogo in cui avviene e indipendentemente dal luogo in cui si trovano gli interessati o in cui hanno sede legale il titolare e/o i responsabili del trattamento (luogo che potrebbe quindi essere anche al di fuori dell’UE) – quando tale trattamento avviene “nell’ambito delle attività di uno stabilimento” situato nell’Unione Europea. A tal riguardo, viene definito “stabilimento” qualsiasi soggetto (persona fisica o giuridica, sede principale o succursale, ecc.) che eserciti sul territorio dell’UE un’attività anche minima, purché reale ed effettiva, attraverso un’organizzazione stabile. Inoltre, per verificare se il trattamento in questione è realizzato “nell’ambito delle attività” svolte da tale stabilimento, possono essere valutati come indizi, da un lato, l’ammontare dei ricavi ottenuti per il tramite di tale stabilimento, e, dall’altro, il tipo di rapporto che intercorre tra il titolare e/o i responsabili situati al di fuori dell’UE e i relativi stabilimenti locali. Su quest’ultimo punto, l’EDPB ha infatti chiarito che, anche se lo stabilimento locale non avesse alcun ruolo nel trattamento dei dati effettuato dal titolare o dal responsabile situati al di fuori dell’UE, questi ultimi potrebbero nondimeno essere inestricabilmente legati alle attività di tale stabilimento, con la conseguenza che ad essi si applicherebbe il GDPR[1].
Quanto al secondo criterio di applicazione, l’art. 3 par. 2 stabilisce che il GDPR si applica al trattamento dei dati personali riferito a soggetti fisicamente situati nell’UE. In altre parole, il c.d. criterio del “targeting” ruota attorno alla collocazione geografica degli interessati, mentre non rileva il luogo in cui hanno sede il titolare o il responsabile, che potrebbero anche essere collocati al di fuori dell’UE. In presenza di tale condizione, il GDPR si applica quando “le attività di tale trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”. La norma presuppone quindi che i soggetti interessati siano “situati” nell’UE (mentre non richiede il possesso della cittadinanza europea), e la sussistenza di tale requisito deve essere valutata nel momento in cui avviene l’offerta di beni o servizi o il monitoraggio, indipendentemente dalla relativa durata.
Al fine di verificare se è in corso un’offerta di beni o servizi rilevante ai fini della norma (cioè diretta a soggetti situati nell’UE), è necessario stabilire se i titolari/responsabili manifestano l’intenzione di stabilire delle relazioni commerciali con i clienti situati nell’UE. Per semplificare questa valutazione, l’EDPB offre i seguenti criteri: l’indicazione dell’UE o di uno Stato Membro in relazione al bene o al servizio offerto; l’utilizzo di un motore di ricerca per servizi di referenziamento in Internet al fine di facilitare l’accesso al proprio sito da parte dei consumatori nell’Unione; campagne di marketing dirette a un pubblico di un paese dell’UE; la natura internazionale dell’attività in questione (es. attività turistiche); la menzione di indirizzi o numeri di telefono dedicati ad un paese dell’UE; nomi a dominio diversi da quello del paese terzo in cui è stabilito il titolare o il responsabile (ad esempio: .it o .eu); la descrizione delle istruzioni di viaggio da uno Stato membro fino al luogo in cui viene fornito il servizio; la menzione di una clientela internazionale composta da clienti domiciliati in vari Stati membri; l’uso di una lingua o di una valuta diversa da quella generalmente utilizzata nel Paese del commerciante; la consegna di merci negli Stati membri dell’UE.
Quanto alla seconda ipotesi prevista dalla norma, possono essere considerati indizi di monitoraggio rilevante le seguenti attività: pubblicità comportamentale; attività di geolocalizzazione (specie se a fini di marketing); tracciamento online tramite cookie/impronta digitale/altro; servizi di analisi della dieta e della salute personalizzati online; CCTV; indagini di mercato e altri studi comportamentali basati su profili individuali; monitoraggio dello stato di salute.
Infine, in base all’art. 3 par. 3 del Regolamento, il GDPR si applica – indipendentemente dal luogo in cui hanno sede il titolare e il responsabile – al trattamento di dati personali effettuato in un luogo in cui la legge di uno degli Stati membri si applica in virtù di una norma di diritto internazionale pubblico (ad esempio, nei consolati e nelle ambasciate degli Stati Membri dell’UE situati di fuori dell’UE stessa). Tuttavia, è bene ricordare che il GDPR non pregiudica l’applicazione delle convenzioni internazionali in vigore e gli eventuali privilegi e immunità previsti dalle stesse.
Da ultimo, le Linee Guida qui commentate forniscono alcune indicazioni sulla nomina di rappresentanti situati nell’UE da parte di titolari/responsabili aventi sede al di fuori dell’Unione, al fine di facilitare la comunicazione con gli interessati e le autorità nazionali competenti in materia di privacy. In primis, l’EDPB ricorda che la designazione di un rappresentante UE non è obbligatoria quando il trattamento a) è occasionale e non implica il trattamento su larga scala di categorie particolari di dati o dati relative a condanne penali e reati, e non vi è il rischio di pregiudicare i diritti e le libertà fondamentali dell’interessato; b) è realizzato da un’autorità o enti pubblici. In tutti gli altri casi, la designazione di un rappresentante nell’UE (se possibile, nello Stato membro in cui viene trattato il maggior numero di dati) è obbligatoria, e la relativa identità e dettagli di contatto vanno indicati nell’informativa privacy fornita agli interessati. Tale rappresentante è poi sottoposto all’obbligo di tenuta di un registro delle attività svolte nell’Unione ed è responsabile dei trattamenti ivi svolti nei limiti di cui agli artt. 30 e 58 par. 1 del GDPR.
[1] Citando un esempio menzionato dalle stesse Linee Guida, il GDPR potrebbe applicarsi ad un esercente situato all’estero, ma con uffici commerciali in UE, anche se tali uffici non svolgono alcun ruolo nel trattamento dei dati, soprattutto se il trattamento avviene nell’ambito delle attività di vendita svolte in UE e le attività dello stabilimento sono dirette agli abitanti dello Stato membro in cui è situato.