Il 23 novembre 2018 il Gruppo delle Autorità di controllo europee sulla protezione dei dati personali hanno pubblicato le Linee guida 3/2018 sull'ambito territoriale del GDPR, in applicazione dell’articolo 3.
Ricordiamo brevemente al lettore la materia disciplinata attraverso l'art. 3 del Regolamento UE 2016/679 (di seguito, GDPR).
Ai sensi dell'art. 3 del GDPR , ed in parziale discontinuità con la Direttiva 45/96/CE, qualsiasi attività di trattamento di dati personali effettuato nell'ambito delle attività di uno stabilimento di un Titolare o Responsabile del trattamento nel territorio dell'UE, dovrebbe essere conforme al presente Regolamento, indipendentemente dal fatto che il trattamento avvenga all'interno oppure all'esterno dell'UE. A tale proposito il Considerando (22) dispone che qualsiasi trattamento di dati personali effettuato nell'ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell'Unione dovrebbe essere conforme al Regolamento, indipendentemente dal fatto che il trattamento avvenga all'interno dell'Unione.
Questo principio è quello che maggiormente caratterizzata l'ambito di applicazione del GDPR, in quanto va a modificare la impostazione di cui alla Direttiva 95/46/CE, per i seguenti aspetti:
-
sia rispetto alla concezione di “stabilimento”, infatti la nuova normativa di settore trova applicazione “indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione;
-
sia perché estende l'ambito di applicazione anche a titolari e responsabili di trattamento non residenti nell'UE, purché siano rispettate una delle seguenti tre condizioni:
-
b1 ) trattino dati personali di persone fisiche che si trovano nell'UE quando il trattamento è in relazione a offerte di beni e servizi, indipendentemente dal fatto che sia richiesto o meno un pagamento. Ai sensi del Considerando (23) , per determinare se vi sia un' offerta di beni o servizi occorre verificare, in concreto, se il Titolare del trattamento abbia intenzione di vendere beni o servizi nell'Unione, ed è irrilevante l'esistenza o meno di un pagamento;
-
b2 ) effettuino attività di monitoraggio sul comportamento di persone fisiche che si trovano nell'UE nella misura in cui tale comportamento avvenga nell'UE. Ai sensi del Considerando (24) , per stabilire se un'attività di trattamento sia assimilabile o meno al controllo del comportamento dell'interessato, è opportuno verificare se le persone fisiche sono tracciate su Internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali;
-
b3 ) è coinvolto il trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Pertanto, le norme si applicano al trattamento dei dati personali effettuato dal titolare o dal responsabile stabiliti nell'Unione Europea, indipendentemente da dove sia effettuato il trattamento stesso o al trattamento di dati personali di soggetti interessati che si trovano nell'Unione, effettuato dal titolare o dal responsabile non stabiliti nell'Unione.
Quindi, che al fine di potere garantire i diritti dei cittadini europei, cioè di quelli appartenenti ad uno degli Stati membri della U.E., il GDPR dispone che sono ad esso assoggettati i trattamenti di dati personali che hanno ad oggetto gli interessati (cioè le persone fisiche) che si trovano nella UE, anche se il titolare o il responsabile del trattamento non hanno sede in UE purché le attività di trattamento riguardino i seguenti ambiti:
-
l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato;
-
il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione .
Sono altresì assoggettati al presente Regolamento i trattamenti di dati personali “effettuat(i) da un Titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico”.
Lo stabilimento implica l'effettivo e reale svolgimento di attività nel quadro di un'organizzazione stabile, a prescindere dalla forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.
Riassumendo, possiamo affermare che la nozione di “stabilimento” è legata al luogo di effettivo e reale svolgimento dell'attività, essendo sufficiente la sussistenza di una stabile organizzazione.