Quando venne costituito, il 25 maggio del 2018, il comitato europeo per la protezione dei dati, mi permisi di esprimere il mio vivo compiacimento per il fatto che questo comitato era composto dagli stessi specialisti, che in precedenza si occupavano dell’articolo 29 Working party. Si tratta di un organo di chiarimento, consulenza e decisione, che sempre più spesso mostra la sua competenza e tempestività, nell’aiutare i titolari a rispettare i dettati del nuovo regolamento.
Un documento recentemente pubblicato fa chiarezza sull’ambito di applicazione territoriale del regolamento, illustrato nell’articolo 3 del regolamento stesso.
La formulazione dell’articolo aveva lasciato alcune perplessità, che avevano bisogno di urgente chiarimento, proprio perché molti titolari non erano in grado di determinare con chiarezza se o meno la loro attività ricadesse nell’ambito del regolamento europeo.
È bene ricordare che l’articolo 3 del regolamento definisce l’ambito territoriale del regolamento sulla base di due criteri principali:
il criterio di “stabilimento” come previsto all’articolo 3, comma 1 e il criterio di destinatari dei beni o dei servizi aperti, come illustrato all’articolo 3 comma 2.
Quando uno qualsiasi di questi due criteri è applicabile, l’intero regolamento è applicabile. I
n allegato a questo articolo metto a disposizione il prezioso testo elaborato dal comitato europeo, ma, per aiutare i lettori ad inquadrare rapidamente i temi affrontati, cito alcuni esempi, che illuminano con chiarezza alcune zone potenzialmente oscure.
Pubblicità
 | Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679. |
Un’azienda produttrice di automobili che ha la sua sede principale negli Stati Uniti possiede una filiale, di sua proprietà, con relativi uffici, situata a Bruxelles; questa filiale controlla tutte le attività svolte in Europa, incluse le attività di marketing e pubblicità. In questo contesto la filiale belga può essere considerata come una filiale pienamente operativa nell’ambito dell’unione europea, in grado di esercitare attività di natura economica nei confronti dei clienti europei. Pertanto, la filiale belga può essere considerata come una azienda con sede dell’unione europea, con applicabilità piena del regolamento.
Un sito Web di commercio elettronico è gestito da un’azienda basata in Cina, laddove sono anche svolte tutte le attività di trattamento dei dati. Questa azienda ha aperto un ufficio europeo a Berlino, per effettuare una prospezione commerciale del mercato europeo e valutare l’avvio di una campagna di marketing.
In questo contesto, è possibile affermare che le attività dell’ufficio europeo a Berlino sono intimamente connesse con il trattamento di dati personali, che è svolto in Cina, almeno per il fatto che le prospettive commerciali una campagna di marketing, dirette al mercato europeo, sono finalizzate a valutare la profittabilità del sito Web in Europa. Il trattamento di dati personali, che è svolto in Cina, viene però diretto ad interessati che hanno sede in Europa e quindi si può affermare che questo trattamento deve essere effettuato in conformità alle indicazioni del regolamento generale europeo, in particolare le indicazioni dell’articolo 3 comma 1.
Una catena di hotel, che ha sede Nell’africa del sud, offre delle proposte, attraverso il proprio sito Web, a clienti residenti in Europa, utilizzando varie lingue, come ad esempio inglese, tedesco, francese e spagnolo. L’azienda in questione non ha alcun ufficio o contatto di rappresentanza all’interno dell’unione europea.
In questo caso, l’assenza di qualsiasi ufficio di rappresentanza in Europa dimostra che nessun trattamento viene effettuato in Europa e si può affermare che la azienda, con base di Sudafrica, non dispone di un punto di riferimento stabile nell’ambito dell’unione europea. Pertanto questo trattamento non può essere assoggettato alle indicazioni del regolamento generale europeo.
Un’azienda Startup, con sede negli Stati Uniti, senza alcuna presenza fisica oppure ufficio di rappresentanza nell’unione europea, offre un’applicazione per la mappatura di una città, destinata ai turisti. L’applicativo tratta dati personali che riguardano la ubicazione dei turisti che usano la mappa, come interessati al trattamento, non appena essi cominciano ad utilizzare l’applicazione stessa, offrendo pubblicità mirate e legate ai luoghi dove il turista si sposta progressivamente. Questo applicativo è disponibile per turisti che visitano New York, San Francisco, Toronto, Londra, Parigi Roma.
Questa azienda, che offre questa applicazione, offre dei servizi a persone fisiche che si trovano all’interno dell’unione europea, specie quando si trovano a Londra, Parigi e Roma. In questo contesto, il trattamento di dati personali, afferenti alla ubicazione di un interessato, che si trova all’interno unione europea, rientra nell’ambito dell’offerta di servizi contemplati dall’articolo 3 comma 2 del regolamento e quindi è soggetto alle disposizioni del regolamento europeo.
Come già faceva all’articolo 29 Working party, il fatto di mettere a disposizione degli esempi concreti rappresenta un elemento di maggiore comprensibilità del messaggio, che viene espresso in una completa articolazione nell’allegato documento.
Scarica il documento (pdf)
Adalberto Biasiotti
