Privacy: le linee guida dei Garanti europei sull'applicazione del GDPR

Il 23 novembre 2018 il Gruppo delle Autorità di controllo europee sulla protezione dei dati personali hanno pubblicato le Linee guida 3/2018 sull'ambito territoriale del GDPR, in applicazione dell’articolo 3.

Ricordiamo brevemente al lettore la materia disciplinata attraverso l'art. 3 del Regolamento UE 2016/679 (di seguito, GDPR).

Ai sensi dell'art. 3 del GDPR , ed in parziale discontinuità con la Direttiva 45/96/CE, qualsiasi attività di trattamento di dati personali effettuato nell'ambito delle attività di uno stabilimento di un Titolare o Responsabile del trattamento nel territorio dell'UE, dovrebbe essere conforme al presente Regolamento, indipendentemente dal fatto che il trattamento avvenga all'interno oppure all'esterno dell'UE. A tale proposito il Considerando (22) dispone che qualsiasi trattamento di dati personali effettuato nell'ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell'Unione dovrebbe essere conforme al Regolamento, indipendentemente dal fatto che il trattamento avvenga all'interno dell'Unione.

Questo principio è quello che maggiormente caratterizzata l'ambito di applicazione del GDPR, in quanto va a modificare la impostazione di cui alla Direttiva 95/46/CE, per i seguenti aspetti:

1. sia rispetto alla concezione di “stabilimento”, infatti la nuova normativa di settore trova applicazione “indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione;
2. sia perché estende l'ambito di applicazione anche a titolari e responsabili di trattamento non residenti nell'UE, purché siano rispettate una delle seguenti tre condizioni:
   • b1 ) trattino dati personali di persone fisiche che si trovano nell'UE quando il trattamento è in relazione a offerte di beni e servizi, indipendentemente dal fatto che sia richiesto o meno un pagamento. Ai sensi del Considerando (23) , per determinare se vi sia un' offerta di beni o servizi occorre verificare, in concreto, se il Titolare del trattamento abbia intenzione di vendere beni o servizi nell'Unione, ed è irrilevante l'esistenza o meno di un pagamento;
   • b2 ) effettuino attività di monitoraggio sul comportamento di persone fisiche che si trovano nell'UE nella misura in cui tale comportamento avvenga nell'UE. Ai sensi del Considerando (24) , per stabilire se un'attività di trattamento sia assimilabile o meno al controllo del comportamento dell'interessato, è opportuno verificare se le persone fisiche sono tracciate su Internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali;
   • b3 ) è coinvolto il trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

Pertanto, le norme si applicano al trattamento dei dati personali effettuato dal titolare o dal responsabile stabiliti nell'Unione Europea, indipendentemente da dove sia effettuato il trattamento stesso o al trattamento di dati personali di soggetti interessati che si trovano nell'Unione, effettuato dal titolare o dal responsabile non stabiliti nell'Unione.

Quindi, che al fine di potere garantire i diritti dei cittadini europei, cioè di quelli appartenenti ad uno degli Stati membri della U.E., il GDPR dispone che sono ad esso assoggettati i trattamenti di dati personali che hanno ad oggetto gli interessati (cioè le persone fisiche) che si trovano nella UE, anche se il titolare o il responsabile del trattamento non hanno sede in UE purché le attività di trattamento riguardino i seguenti ambiti:

• l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato;
• il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione .

Sono altresì assoggettati al presente Regolamento i trattamenti di dati personali “effettuat(i) da un Titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico”.

Lo stabilimento implica l'effettivo e reale svolgimento di attività nel quadro di un'organizzazione stabile, a prescindere dalla forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.

Riassumendo, possiamo affermare che la nozione di “stabilimento” è legata al luogo di effettivo e reale svolgimento dell'attività, essendo sufficiente la sussistenza di una stabile organizzazione.

1) Gli esempi esplicativi contenuti nelle Linee Guida EDPB

Le linee guida in commento, per il momento redatte solo nella versione in lingua inglese riportano una serie di esempi esplicativi circa la casistica, per la verità parecchio complessa, che chi deve applicare il GDPR si può trovare di fronte.

A vantaggio del lettore si riportano alcuni degli esempi pubblicati nelle Linee guida e da noi tradotti.

Esempio 1: una società di produzione automobilistica con sede negli Stati Uniti ha una filiale di proprietà e ufficio con sede a Bruxelles che supervisiona tutte le sue operazioni in Europa, compreso il marketing e le campagne pubblicitarie. La filiale belga può essere considerata come un accordo stabile, che esercita una reale ed efficace attività alla luce della natura dell'attività economica svolta dalla casa automobilistica. In quanto tale, la succursale belga potrebbe pertanto essere considerata come uno stabilimento nell'Unione, all'interno di il significato del GDPR.  

Esempio 2: un sito di e-commerce gestito da una società con sede in Cina, il cui trattamento dei dati avviene esclusivamente in territorio cinese, ha stabilito un ufficio europeo a Berlino per condurre e attuare campagne pubblicitarie e di marketing verso i mercati della UE. In questo caso, si può ritenere che le attività dell'ufficio europeo a Berlino siano collegate al trattamento dei dati personali effettuato dal sito di e-commerce cinese, nella misura in cui la campagna pubblicitaria e di marketing verso i mercati dell'UE, in particolare, serve a rendere il servizio offerto dal sito di e-commerce redditizio. Il trattamento dei dati personali da parte dei cinesi può quindi essere considerato come svolto nel contesto delle attività della Comunità Europea e quindi essere soggetto alle disposizioni del GDPR come da articolo 3, paragrafo 1    

Esempio 3: una catena di hotel e resort in Sud Africa offre pacchetti di offerte attraverso il suo sito Web, disponibili in inglese, tedesco, francese e spagnolo. La compagnia non ha ufficio, rappresentanza o accordo stabile nell'UE. In questo caso, in assenza di qualsiasi sistemazione stabile della catena di hotel e resort all'interno del territorio dell'Unione, sembra che nessuna entità UE sia collegata a questo titolare del trattamento dei dati ai sensi del GDPR. Pertanto il trattamento non può essere soggetto alle disposizioni del GDPR, ai sensi dell'articolo 3, paragrafo 1. Tuttavia, deve essere analizzato in concreto se il trattamento effettuato da questo titolare dei dati stabiliti al di fuori dell'UE può essere soggetto al GDPR, come previsto dall'articolo 3, paragrafo 2.  

Esempio 4: Un'azienda francese ha sviluppato un'applicazione di car sharing esclusivamente indirizzata a clienti in Marocco, Algeria e Tunisia. Il servizio è disponibile solo in questi tre paesi ma tutte le attività di trattamento dei dati personali sono svolte dal responsabile del trattamento dei dati in Francia. Mentre la raccolta di dati personali avviene in paesi extra UE, la successiva elaborazione di i dati personali in questo caso viene eseguita nel contesto delle attività di uno stabilimento di un dato titolare nell'Unione. Pertanto, anche se il trattamento si riferisce a dati personali degli interessati che non sono nell'Unione, le disposizioni del GDPR si applicheranno al trattamento effettuato dal Società francese, di cui all'articolo 3, paragrafo 1.    

Esempio 5: un'azienda farmaceutica con sede a Stoccolma effettua attività di trattamento dati, per quanto riguarda le sperimentazioni cliniche, nella sua filiale con sede a Singapore. Secondo la struttura aziendale, la filiale di Singapore non è un'entità giuridicamente distinta dalla sede di Stoccolma in quanto quest'ultima determina lo scopo e i mezzi del trattamento dei dati effettuato per suo conto dalla filiale con sede a Singapore. In questo caso, mentre le attività di elaborazione si svolgono a Singapore, tale elaborazione viene effettuata nel contesto delle attività della compagnia farmaceutica di Stoccolma, cioè di un responsabile del trattamento dei dati stabilito nell'Unione. Le disposizioni del GDPR si applicano pertanto a tale trattamento, ai sensi dell'art 3 (1).  

Esempio 6: un istituto di ricerca finlandese svolge ricerche relative al popolo Sami. L'Istituto lancia un progetto che riguarda solo i Sami in Russia. Per questo progetto l'istituto ricorre ad un responsabile con sede in Canada. Mentre il GDPR non si applicherebbe direttamente al responsabile canadese, il titolare finlandese ha il dovere di utilizzare solo responsabili che forniscono garanzie sufficienti in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca il protezione dei diritti degli interessati. Il titolare finlandese deve stipulare un accordo in materia di trattamento dei dati con il responsabile canadese e le funzioni del responsabile del trattamento saranno stabilite in tale atto giuridico.  

Va rivolto un plauso ai garanti europei in materia di protezione dei dati personali che attraverso suddette Linee guida hanno fornito elementi aggiuntivi a quanto stabilito nel GDPR ad uso di chi è chiamato ad applicare la normativa.