Il rapporto tra il regolamento europeo per la protezione dei dati personali e le aziende extra-Ue può essere stabilito da alcuni semplici criteri
Il Gdpr si applica solo all’interno del territorio dell’Unione europea, oppure i suoi precetti sono vincolanti anche al di fuori dei paesi che ne fanno parte? Questa è la domanda che molti operatori economici e non, tra i quali, certamente quelli che lavorano col/sul web, si pongono ossessivamente nel tentativo di ottemperare ad una normativa tanto pervasiva e rilevante. Il focus è sul il trattamento in sé, piuttosto che sulle caratteristiche del soggetto che lo esegue o del titolare dei dati.
In linea generale, l’ambito di applicazione geografica del Regolamento è influenzato principalmente dal tipo/dalla natura di/del trattamento dei dati, non dalla nazionalità di chi lo effettua come titolare (Controller), o delegato (Processor). Per esempio, mentre Amazon, per determinati trattamenti può essere soggetta alla normativa, Vodafone – sempre in relazione a determinati trattamenti – può esserne esentata. Analogamente, è irrilevante la nazionalità del titolare dei dati trattati, rispetto alle caratteristiche del trattamento stesso: un cittadino indiano, in specifiche circostanze, può essere protetto dalle norme, mente un cittadino tedesco, in altre determinate circostanze, può sfuggire alla loro tutela. Ciò precisato, il Regolamento pone due criteri di collegamento col territorio: il criterio dello “stabilimento” del Controller/Processor, e in subordine, il criterio del “target” dell’attività alla quale il trattamento è funzionale.
Lo stabilimento
Se il Controller/Processor ha un luogo di stabilimento nella Ue, esso è tenuto all’osservanza della normativa quanto ai trattamenti intrinsecamente connessi al contesto delle attività ivi svolte. Questo significa che è sufficiente un’organizzazione stabile (costituita anche da un solo dipendente, e non necessariamente dotata di personalità giuridica), che svolga regolarmente (sufficienti anche 1/2 giorni alla settimana), un’attività funzionalmente dipendente da un trattamento effettuato anche al di fuori della Ue (non è necessario che l’attività dello stabilimento coincida col trattamento stesso). Facciamo un esempio: se Microsoft profila gli utenti elaborando i dati negli Stati Uniti, ma il trattamento è funzionale ad ottimizzare la performance commerciale della sede di Milano, l’azienda deve comunque rispettare i termini del Gdpr (ancorché il trattamento dei dati venga eseguito su servers situati negli Usa).
Il target dell’attività alla quale è finalizzato il trattamento
Per escludere o affermare completamente l’applicabilità del Gdpr sotto l’aspetto territoriale l’interprete, ove non vi sia stabilimento comunitario, deve ricorrere al criterio del target dell’attività alla quale è finalizzato il trattamento. Sono pertanto tutelate dalla normativa tutte le persone fisiche (a prescindere dalla loro nazionalità) mentre si trovano nel territorio della Ue (anche solo di passaggio, come ad esempio in occasione di uno scalo aeroportuale), laddove i loro dati vengano sottoposti a trattamento da parte di un Controller/Processor stabilito fuori di essa, e detto trattamento sia funzionale alla fornitura (anche a titolo gratuito) di beni e/o servizi nell’Unione, oppure sia funzionale al monitoraggio di un loro comportamento nel territorio della Ue.
Se per esempio Xiaomi (priva di un qualsivoglia stabilimento nella Ue) installa sui suoi dispositivi un app (residente su servers situati in Belize) che consente ai proprietari degli stessi di ricevere la segnalazione dei ristoranti più interessanti nelle vicinanze del luogo ove essi si trovano, nell’ambito del territorio della Ue e mentre vi soggiornano; essa dovrà ottemperare al Gdpr. Questo per i seguenti motivi: primo, perché il trattamento è finalizzato alla fornitura di un servizio (segnalazione dei ristoranti) nelle vicinanze della loro posizione; secondo, perché è contestualmente finalizzato al monitoraggio della loro posizione, essenziale per il sopracitato servizio. In questo specifico caso è evidente che il Controller (Xiaomi) non è stabilito nella Ue, e tantomeno il trattamento che genera le segnalazioni avviene presso servers siti nel territorio della stessa, ma poiché gli utenti del servizio – indipendentemente dalla loro nazionalità – si trovano fisicamente al suo interno mentre ne godono, l’azienda è tenuta comunque ad ottemperare al Gdpr.
Alcune osservazioni sulla compresenza di Controller e Processor nello schema di trattamento.
Le linee guida precisano che, ai fini dell’applicazione dei principi sopra esemplificati, è necessario prendere separatamente in considerazione la posizione del Controller e del Processor. Con riferimento al principio dello stabilimento, scegliere un Processor al di fuori della Ue non consente al Controller “comunitario” di esentare il trattamento dall’applicazione del Regolamento; sempre con riferimento a tale principio, per converso il trattamento svolto dal Processor “comunitario” su incarico e sotto le istruzioni di un Controller “extracomunitario” non si sottrae all’operatività del Regolamento (poiché il Processor dovrà autonomamente assoggettarsi al Gdpr sul presupposto del suo stabilimento comunitario).
Infine, nemmeno lo stabilimento extra Ue di entrambi i protagonisti del trattamento genererebbe l’esenzione dalla normativa, poiché la sua finalizzazione (targeting) alla offerta di beni/servizi, ovvero al monitoraggio sul territorio della Ue attiverebbe comunque il Regolamento.
Leggi anche