Il responsabile del trattamento stabilito extra UE: ambiti di applicabilità del GDPR

È sempre più frequente che i dati personali degli interessati residenti nell’Unione Europea vengano trattati da titolari o responsabili del trattamento stabiliti extra UE. Ecco quali sono, in questo caso, i diversi scenari di applicabilità del GDPR

In un mercato sempre più globale, i dati personali degli interessati che si trovano nell’Unione Europea possono essere oggetto di trattamento da parte di aziende e organizzazioni stabilite in “Paesi terzi”, extra UE.

Tali aziende e organizzazioni si ritrovano pertanto a dover verificare se sono anch’esse soggette agli obblighi previsti dal Regolamento (UE) 2016/679 (“GDPR” o “Regolamento”).

Vediamo, dunque, quali sono i diversi scenari di applicabilità della normativa europea nei confronti di titolari o responsabili del trattamento ubicati in Paesi al di fuori dell’Unione Europea.

Indice degli argomenti

Gli ambiti di applicazione territoriale del GDPR

In via generale, ai sensi dell’art. 3 del Regolamento, il GDPR si applica ai trattamenti:

effettuati nell’ambito delle attività di uno stabilimento, da parte di un titolare o di un responsabile del trattamento, ubicato all’interno dell’Unione Europea;
effettuati, nei confronti di interessati che si trovano nell’Unione Europea, da un titolare o da un responsabile del trattamento con sede in Paesi al di fuori dell’Unione Europea. In tale caso, i trattamenti devono avere ad oggetto:

l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, a prescindere dalla necessità di ricevere un pagamento o corrispettivo da parte degli stessi;
il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’Unione.

Nel caso in cui il titolare o il responsabile del trattamento siano stabiliti in Paesi terzi, il legislatore europeo ha quindi individuato, con l’introduzione del nuovo criterio dell’indirizzamento (“targeting”), due condizioni alternative a fronte delle quali trova comunque piena applicazione la normativa europea: l’offerta di beni o la prestazione di servizi; il monitoraggio del comportamento degli interessati.

Sul tema è intervenuto l’European Data Protection Board (“EDPB”) che con le linee guida 3/2018, adottate il 12 novembre 2019, ha chiarito l’interpretazione della normativa europea.

Cosa si intende per offerta di beni o prestazione di servizi?

Il legislatore europeo non dà una chiara definizione di “offerta di beni o prestazione di servizi”.

Tuttavia, per quanto riguarda l’offerta di beni, e prendendo come riferimento la versione in inglese del GDPR che si esprime in termini di “offering of goods”, è agevole ricondurre l’accezione di “beni” a quella propria di “merci”.

Discorso differente per quanto concerne l’interpretazione della prestazione di servizi. A tal proposito, è doveroso ricomprendere nella definizione di “servizio” anche quanto definito come tale dalla direttiva (UE) 2015/1535^[1], ossia “(…) qualsiasi servizio prestato normalmente dietro retribuzione^[2], a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi”.

**Il criterio dell’indirizzamento (o targeting) del trattamento: come riconoscerlo**

Si è già illustrato come per il criterio dell’indirizzamento (o targeting) del trattamento le attività di trattamento debbano riguardare l’offerta di beni o la prestazione di servizi, ovvero il monitoraggio del comportamento, destinate agli interessati che si trovano all’UE.

In altre parole, deve esserci una chiara intenzione da parte del titolare del trattamento di destinare l’offerta di beni e la prestazione di servizi a tali interessati. Ma quando si verifica sostanzialmente tale situazione e come è possibile riconoscerla?

Per poter valutare se le attività effettuate dal titolare possono considerarsi come chiaramente indirizzate agli interessati appartenenti all’Unione Europea, rispettando il criterio del targeting del trattamento, l’EDPB indica alcune circostanze che potrebbero agevolarne la valutazione, quali ad esempio:

il titolare o il responsabile del trattamento paga il gestore di un motore di ricerca per un servizio di posizionamento su Internet al fine di facilitare l’accesso al proprio sito da parte dei consumatori dell’Unione; oppure il titolare o il responsabile del trattamento ha avviato campagne pubblicitarie e di marketing rivolte al pubblico di un paese dell’UE;
la menzione di indirizzi o numeri di telefono appositi da utilizzare da un paese dell’UE;
l’uso di un nome di dominio di primo livello diverso da quello del paese terzo in cui il titolare o il responsabile del trattamento è stabilito, ad esempio «.de», oppure l’uso di nomi di dominio di primo livello neutri, ad esempio «.eu»;
l’uso di una lingua o una valuta diverse da quelle generalmente utilizzate nel paese del commerciante, in particolare una lingua o una valuta di uno o più Stati membri dell’UE;
il titolare del trattamento dei dati offre la consegna di beni negli Stati membri dell’UE.

È opportuno tenere a mente che le attività di trattamento poste in essere dal titolare del trattamento in relazione ad un rapporto contrattuale di lavoro, seppur destinate a interessati che si trovano nell’UE, non rientrano nella definizione di offerta di beni o servizi ai sensi dell’art. 3 GDPR, “ma fa[nno] invece parte del trattamento necessario affinché il datore di lavoro ottemperi ai propri obblighi contrattuali e agli obblighi in materia di risorse umane relativamente all’impiego delle stesse”.

Applicabilità del GDPR nei confronti del responsabile del trattamento non stabilito in UE

Passando al ruolo del responsabile del trattamento, è noto come questo debba essere designato (dal titolare) qualora ponga in essere attività di trattamento per conto del titolare, a prescindere dal fatto che il responsabile si rivolga direttamente o meno nei confronti degli interessati.

Secondo la disposizione normativa dell’art. 3 GDPR e alla luce delle linee guida sopra richiamate, per l’applicabilità della normativa europea anche a tale figura, è altrettanto necessario verificare se il trattamento prefissato dal titolare può rientrare nella definizione di offerta di beni o servizi, svolta nei confronti degli interessati appartenenti all’UE, e se le rispettive attività effettuate dal responsabile seguono l’indirizzamento (o targeting) del trattamento deciso dallo stesso titolare.

Infatti, “ove le attività di trattamento svolte da un titolare del trattamento riguardino l’offerta di beni o servizi o il monitoraggio del comportamento di persone fisiche nell’Unione («indirizzamento»), qualsiasi responsabile incaricato di svolgere tale attività di trattamento per conto del titolare ricade, in relazione a tale trattamento, nell’ambito di applicazione del RGPD in virtù dell’articolo 3, paragrafo 2”^[3].

Se l’attività di trattamento di dati personali prefissata dal titolare rientra nella definizione di offerta di beni o servizi, il fornitore stabilito in Paese al di fuori dell’UE sarà quindi soggetto agli obblighi imposti dalla normativa europea (per tale trattamento), tra cui, ad esempio, la designazione di un suo rappresentante all’interno dell’UE, l’adozione ed il mantenimento del registro dei trattamenti (ai sensi dell’art. 30, par. 2, del GDPR) e, ove sussistano i requisiti previsti dalla normativa, la designazione di un DPO.

Conseguenza diretta è che eventuali inadempimenti o la violazione di uno degli obblighi previsti dal GDPR in capo al Responsabile del trattamento stabilito extra UE ma a cui si applica il GDPR, esporrebbero tali soggetti alle medesime sanzioni amministrative pecuniarie previste per i titolari e i responsabili stabiliti nell’Unione Europea, rischiando fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Nel caso in cui, invece, il GDPR non dovesse applicarsi nei confronti del fornitore stabilito al di fuori dell’Unione Europea, in quanto non trova applicazione il criterio di targeting, il titolare del trattamento ubicato nell’Unione dovrà comunque adempiere agli obblighi imposti dalla normativa in materia di protezione dei dati, procedendo quindi alla designazione a responsabile del trattamento del fornitore che effettua attività di trattamento di dati personali per suo conto, eventualmente limitando nell’atto di designazione a responsabile ex art. 28 GDPR le previsioni circa gli ulteriori obblighi previsti in capo al responsabile stesso.

NOTE

Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015 che prevede una procedura d’informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione (codificazione). ↑
Come chiarito dal medesimo art. 3 GDPR, non è necessaria l’obbligatorietà di un pagamento da parte dell’interessato per le attività di offerta di beni o la prestazione di servizi da parte del titolare del trattamento. ↑
Cfr. Linee guida n. 3/2018 dell’EDPB. ↑