Criteri e indicazioni per definire i confini che interessano l’applicabilità del Regolamento europeo nei confronti di aziende e cittadini extra UE: è il contenuto delle linee guida approvate dall’unione dei garanti europei, EDPB (di cui fa parte anche il Garante italiano) durante la sua quarta riunione plenaria.
Il testo, ancora in fase di approvazione definitiva, rappresenta un interessante spaccato dell’approccio all’art. 3 che stabilisce l’ambito di applicazione territoriale del GDPR.
A prevalere sono due criteri interpretativi: Establishment criterion e Targeting criterion.
Le linee guida all’art. 3 GDPR
Alla luce delle pesanti sanzioni previste dal GDPR, la corretta lettura e interpretazione dell’art. 3 rappresenta uno snodo fondamentale per tutte le aziende che operano al di fuori del territorio dell’Unione Europea.
Da questo punto di vista, il documento di 23 pagine prodotto dal EDPB (ancora in fase di approvazione) rappresenta un primo passo per la realizzazione di un orientamento chiaro e solido, capace di guidare le aziende in un ragionamento importante: stabilire se la propria attività rientri o meno nell’ambito di applicazione del GDPR.
Quindi una bussola, un vademecum, a cui titolari e responsabili del trattamento sono chiamati a confrontarsi fin da subito, a partire dai suoi capisaldi fondamentali. Vediamo quali sono.
Establishment Criterion
Il documento dell’EDPB evidenzia tra i criteri guida un principio già esistente e riconosciuto in diverse sentenze della Corte di Giustizia dell’Unione Europea: l’Establishment Criterion, cioè il principio di “stabilimento”.
Esso fornisce la chiave di lettura dell’art. 3 §1 del GDPR che recita: “il regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.
Infatti, secondo l’Establishment Criterion, il luogo geografico in cui il trattamento si realizza è irrilevante nel determinare se il trattamento rientri nell’ambito di applicazione del GDPR. Ciò che conta, per innescare l’applicazione del GDPR è la presenza in Europa, per mezzo di uno stabilimento, di un titolare o di un responsabile e il fatto che il trattamento avvenga nel contesto delle attività di quello stabilimento.
Cosa si intende per stabilimento?
La definizione non è contenuta nel GDPR, ma il considerando 22 chiarisce che il concetto di stabilimento si estende a qualsiasi attività effettiva e reale esercitata da un titolare o responsabile del trattamento, per mezzo di una stabile organizzazione.
Per riassumere l’EDPB suggerisce di concretizzare questo approccio con tre domande:
- Il titolare o il responsabile del trattamento hanno uno stabilimento in Europa?
- Il titolare o il responsabile di dati personali effettuano trattamenti “nel contesto delle attività di uno stabilimento?
- Dove si svolge il trattamento di dati personali?
Targeting Criterion
Il secondo criterio enunciato fornisce la chiave di lettura per l’art. 3 §2 del GDPR che ha come destinatari i trattamenti dei dati personali dei soggetti che si trovano nell’Unione Europea.
Il Targeting Criterion, dunque, si focalizza sulla collocazione fisica e geografica degli interessati, e di tutti i soggetti destinatari del trattamento.
Differentemente dal primo approccio, ciò che conta, ai fini dell’applicazione del GDPR, è stabilire se:
- il trattamento si riferisce all’offerta di beni o servizi a soggetti interessati dell’UE
- il trattamento coinvolge il monitoraggio del comportamento di soggetti interessati dell’UE
In questo caso risultano irrilevanti la presenza sul territorio dell’Unione di un titolare del trattamento o di un responsabile del trattamento.
In attesa dell’approvazione ufficiali delle linee guida puoi consultarti con noi per qualsiasi dubbio relativo al documento dell’EDPB.
