mercoledì, Settembre 22, 2021
Home BLOG DataRoom GDPR: ambito territoriale

GDPR: ambito territoriale

Il Regolamento Europeo, oltre a definire l’ambito di applicazione soggettiva ed oggettiva delle norme in materia privacy, ha declinato anche le ipotesi di applicazione territoriale delle stesse, stante un legame con il soggetto Interessato.

In base al Considerando 22) del GDPR “Qualsiasi trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica“.

Il GDPR si applica dunque a tutti i trattamenti effettuati dai Titolari e/o Responsabili stabiliti sì in Europa, aventi cioè una stabile organizzazione che svolga effettivamente il Trattamento, ma indipendentemente dal fatto che il trattamento sia effettuato nell’Unione cioè i dati personali non sono fisicamente trattati nel territorio dell’Unione.

Recita invece il Considerando 23)Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento, è opportuno che questo disciplini il trattamento dei dati personali degli interessati che si trovano nell’Unione effettuato da un titolare del trattamento o da un responsabile del trattamento non stabilito nell’Unione, quando le attività di trattamento sono connesse all’offerta di beni o servizi a detti interessati indipendentemente dal fatto che vi sia un pagamento correlato. Per determinare se tale titolare o responsabile del trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione. Mentre la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell’Unione“.

Cosa comporta? Che molte imprese stabilite fuori dal territorio UE che trattano Dati personali che sono in Europa dovranno dunque conformarsi al regolamento e dovranno designare con mandato scritto un rappresentante che agisca per conto del Titolare e/o del Responsabile con riguardo agli obblighi derivanti dal GDPR (esenzioni: nel caso in cui il trattamento è occasionale, non avviene su larga scala e non riguarda dati sensibili o giudiziari, e non mette a rischio i diritti e/o le libertà fondamentali degli interessati).

In base al Considerando 24)È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un titolare del trattamento o di un responsabile del trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale comportamento ha luogo all’interno dell’Unione. Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.”

Ciò vale a dire che il GDPR si applica anche ai Titolari e/o Responsabili non stabiliti in Europa che trattano i dati personali degli Interessati che si trovano in Europa quando il Trattamento è connesso all’offerta di beni e servizi a tali Interessati o riguarda il monitoraggio del loro comportamento che si verifica nell’Unione (per capire se un trattamento è assimilabile al monitoraggio del comportamento dell’Interessato, va verificato se questo è tracciato o profilato su internet).

Infine, il Considerando 25) stabilisce che “laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un titolare del trattamento non stabilito nell’Unione“.

Ciò significa che il GDPR si applica anche ai Titolari e/o Responsabili non stabiliti in Europa, ma che hanno sede in un luogo ove si applica la legge di uno stato membro dell’Unione in virtù del diritto internazionale pubblico (esempio, rappresentanza diplomatica o consolare).

#gdpr #privacy #europa #datipersonali #server #imprese #geolocalizzazione

Must Read