Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

Ambito di applicazione territoriale del GDPR, linee guida EDPB: un utile compendio per le aziende

L’EDPB, l’European Data Protection Board, ha adottato definitivamente le linee guida sull’ambito di applicazione territoriale del GDPR. Un documento particolarmente utile per le aziende che chiarisce molti aspetti operativi per la conformità al Regolamento UE: vediamo quali

27 Nov 2019
V
Nicola Vanin

Data Governance & Information Security Senior Manager


EDPB – European Data Protection Board, ha pubblicato le linee guida sull’ambito di applicazione territoriale del GDPR. Il documento permette di fare chiarezza sulla competenza delle autorità nell’applicazione del regolamento europeo, consentendo di diradare i dubbi operativi derivati anche dalla portata extraterritoriale del GDPR, uno degli aspetti più fastidiosi e vaghi.

L’ulteriore chiarezza e gli esempi forniti dalla versione finale di queste linee guida sull’ambito territoriale risultano pertanto molto utili alle aziende e ai professionisti.

Il documento di EDPB

In sintesi L’EDPB non fa altro che  confermare una visione espansiva di quando un’organizzazione sarà considerata “istituita”. Per determinare se il GDPR si applica a causa dell’istituzione di un’organizzazione, l’EDPB offre un test in tre parti:

  • in primo luogo, valutare se l’organizzazione è stabilita;
  • in secondo luogo, determinare se i dati personali sono trattati nel contesto dello stabilimento;
  • in terzo luogo, l’applicazione del GDPR allo stabilimento si applica indipendentemente dal fatto che il trattamento abbia luogo nell UE.

Quello che emerge è una soglia per stabilire se l’organizzazione è stabilita “piuttosto bassa”; la presenza di un singolo dipendente o agente potrebbe essere sufficiente affinché si applichi il GDPR. Infatti, le linee guida EDPB estendono ulteriormente questo principio per le organizzazioni online, scoprendo che “la soglia per un’accordo stabile” può essere piuttosto bassa quando il centro delle attività di un responsabile del trattamento riguarda la fornitura di servizi online.

In alcuni casi, “la presenza di un singolo dipendente o agente che agisce con un grado sufficiente di stabilità” sarà sufficiente.

I suggerimenti per il trattamento

Ecco perché L’EDPB suggerisce di concentrarsi sulla connessione tra le attività di trattamento svolte dal responsabile del trattamento e le attività di targeting intraprese da un titolare del trattamento del trattamento dei dati.

Se le attività di trattamento da parte del responsabile del trattamento, sotto le istruzioni del titolare del trattamento, sono correlate all’offerta di beni o servizi agli interessati nell’UE, l’attività di trattamento da parte del responsabile del trattamento non stabilita nell’UE sarà soggetta al GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5