GDPR: in quali Stati è valida la tutela dei dati personali e per quali interessati?

Il Regolamento Europeo 679/2016 esplica i suoi effetti in un determinato ambito territoriale.

Nella nostra analisi dell’ambito oggettivo di applicazione del Regolamento Europeo, cerchiamo di capire oggi quali sono i confini territoriali entro i quali si esplicano gli effetti della normativa europea sia in relazione al luogo in cui è effettuato il trattamento, sia per quanto attiene la nazionalità degli interessati.

Che residenza deve avere il titolare del trattamento perché le sue azioni ricadano nell’ambito delle tutele previste dal Regolamento Europeo? Di quale nazionalità deve essere l’interessato per poter attivare le tutele previste dal G.D.P.R.,? Le sanzioni applicabili sono le stesse in ogni Paese? A queste domande proveremo a rispondere nel testo che segue.

L’articolo 3 del Regolamento Generale sulla Protezione dei Dati descrive l’ambito territoriale entro il quale la norma europea produce i propri effetti nei confronti di quei soggetti che sono, a vario titolo, coinvolti nel trattamento di dati personali. Ciò operando una scelta di tutela dei cittadini dell’Unione Europea il più estesa possibile indipendentemente, per alcune fattispecie, da dove sia ubicata la sede del titolare del trattamento.

a) Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. (C22)

b) Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: (C23, C24)

    • l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
    • il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

c) Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. (C25)

La prima fattispecie contemplata dalla norma, è quella relativa al soggetto che pone in essere il trattamento, sia esso Titolare del trattamento o Responsabile del trattamento. Nei confronti di questi assume rilevanza, quale elemento caratterizzante la possibilità di essere sottoposti alle norme del G.D.P.R., la territorialità dello stabilimento. Non rileva infatti che il trattamento sia effettivamente svolto (effettuato) fuori dall’Unione Europea, è sufficiente che il soggetto Titolare o Responsabile sia un soggetto “europeo”. Per chiarire tale definizione ci aiuta il considerando 22 del regolamento UE, secondo il quale è sufficiente che da parte del Titolare o del Responsabile ci sia “l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica”.

In questo caso la tutela dei dati personali si applica anche a interessati non “europei” poiché, essendo considerato tale il Titolare o il Responsabile, è il trattamento stesso, indipendentemente dalla nazionalità dei soggetti a cui i dati si riferiscono, a dover essere compliant a quanto previsto dal Regolamento UE.

La seconda fattispecie prende in esame il luogo in cui si trovano gli Interessati, quei soggetti cioè che possono essere identificati o identificabili attraverso i dati oggetti di trattamento.

In questo caso, le norme sono applicabili a quei trattamenti che, indipendentemente da dove sono svolti, coinvolgono interessati che sono nell’Unione Europea in due casi specifici: quando il trattamento sia connesso all’offerta di beni o servizi, ovvero quando il trattamento abbia a oggetto un’attività di monitoraggio.

Nel primo caso, nulla rileva la presenza o meno di un pagamento correlato al fine di qualificare l’azione del Titolare o del Responsabile come offerta di beni o servizi. Ma come fare dunque a stabilire quando si è in presenza di un’offerta di beni o servizi? Anche in questo caso troviamo un aiuto nei considerando al Regolamento che, al numero 23, ci offrono dei casi pratici attraverso i quali è possibile verificare se il Titolare o il Responsabile intendano fornire beni o servizi agli interessati. Ad esempio: non è sufficiente, affinché si concretizzi la fattispecie ipotizzata, che sia fornita la “semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito”. Di contro, “l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione” sono elementi che possono far emergere l’intenzione di offrire beni o servizi agli interessati nell’UE.

Per quanto riguarda l’ipotesi del monitoraggio, è bene sottolineare come è il comportamento monitorato a dover avere luogo nel territorio dell’UE, non l’attività di monitoraggio.

Per meglio comprendere cosa deve intendersi per monitoraggio, attività che implica il controllo del comportamento dell’interessato, il considerando 24 del G.D.P.R. chiarisce che “è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.

Ultima fattispecie presa in considerazione dalla norma riguarda tutti quei trattamenti di dati personali che sono effettuati da un Titolare o da un Responsabile del trattamento che, pur non essendo stabilito all’interno del territorio dell’Unione Europea, lo sia in un luogo che, per le norme del diritto pubblico internazionale, è soggetto al diritto nazionale di uno Stato membro dell’UE, quale, a esempio, la rappresentanza diplomatica o consolare di uno Stato membro.

In ambito di esame dell’applicazione territoriale del Regolamento è opportuno citare il principio del one stop shop (c.d. meccanismo dello sportello unico) introdotto dal G.D.P.R.

Sulla base di questo principio, il Titolare del trattamento o il Responsabile del trattamento che operano in più stati dell’Unione possono rivolgersi all’Autorità Garante dello Stato in cui hanno la sede principale. Sarà questa, dunque, a essere il soggetto di riferimento per quanto attiene l’applicazione del Regolamento e, per così dire, ad assumere il ruolo di “capofila” di tutte le altre Autorità Garanti presenti nei diversi paesi in cui il Titolare o il Responsabile operano. Ciò al fine di semplificare l’operatività dei soggetti economici multinazionali.

Il principio si applica analogamente anche a quelle fattispecie in cui i trattamenti, operati da un Titolare o Responsabile residente in un unico Stato, incidano su interessati residenti in più Stati appartenenti all’Unione Europea.

Renato Carafa