Ci sono casi in cui può non essere agevole stabilire se i trattamento dei dati personali sia o meno soggetto al GDPR, la legge europea sulla privacy, in relazione al requisito della presenza di attività all’interno dell’Unione Europa. Ad esempio, un sito di e-commerce con sede in Asia, che ha anche clienti europei, piuttosto che un produttore di auto statunitense che ha una filiale a Bruxelles, sono tenuti ad applicare il GDPR. Chiariscono tutti i dubbi le Linee guida sull’applicazione dell’ambito territoriale del GDPR approvate dal Comitato europeo per la protezione dei dati, pubblicate sulla newsletter di dicembre del Garante Privacy italiano.
GDPR, articolo n. 3
=> Obblighi GDPR in azienda: come garantire la protezione dei dati
Il punto è l’applicazione dell’articolo 3 del GDPR, in base al quale le norme sulla privacy si applicano:
Al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
Oppure, nel caso in cui il titolare o responsabile del trattamento non si trovino nell’Unione, quando le attività che comportano il trattamento dei dati riguardano l’offerta di beni o la prestazione di servizi che si rivolgono a persone che si trovano nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, il monitoraggio del loro comportamento all’interno dell’Unione o ancora se il titolare del trattamento, pur non essendo nella UE, si trovi in un luogo che, in base al diritto internazionale, è soggetto al diritto di uno Stato membro.
Esempi pratici
Come si vede, le regole possono essere complicate, prevedendo una serie di casi. Le Linee Guida forniscono chiarimenti interpretativi e diversi esempi pratici. Vediamone alcuni:
- un’azienda americana apre una filiale a Bruxelles: in questo caso, le relative attività ricadono nell’ambito de GDPR, essendoci una stabile organizzazione (la filiale) nell’UE;
- un sito di e-commerce di una compagnia cinese apre un ufficio a Berlino, che si occupa essenzialmente di marketing per spingere il brand. L’attività di trattamento dati avviene però in Cina. Siccome questa attività è comune effettuata anche in relazione alla presenza di un ufficio europeo, si applicano anche in questo caso le regole del GDPR;
- un sito web turco offre è disponibile in inglese, francese, olandese e tedesco, accetta pagamenti in euro e sterline, spedisce prodotti in Gran Bretagna, Francia, Benelux e Germania. Evidentemente, pur essendo l’azienda fuori dalla UE, offre servizi e prodotti a persone che invece si trova nell’Unione, e di conseguenza applica il GDPR;
- un hotel in Sudafrica offre attraverso il suo sito web pacchetti vacanza che sono rivolti anche a clienti europei, ma non ha alcun ufficio o rappresentanza all’interno dell’Unione. In questo caso, non si applica il GDPR;
- n’azienda francese ha un’attività di car sharing che si rivolge esclusivamente a clienti in Marocco, Algeria e Tunisia. Il trattamento dei dati, avviene però in Francia, dove si trova il quartier generale. In questo caso, anche se i dati non riguardano persone che si trovano fuori dalla UE, il trattamento avviene invece in un paese membro, e quindi si applica il GDPR;
- un’azienda del principato di Monaco ha molti dipendenti italiani e francesi. In questo caso, c’è un trattamento dati che riguarda cittadini europei, ma che non riguarda un’offerta di beni o servizi, bensì i dati relativi al rapporto fra azienda e dipendenti. Non si applica il GDPR.