Le linee guida in commento, per il momento redatte solo nella versione in lingua inglese riportano una serie di esempi esplicativi circa la casistica, per la verità parecchio complessa, che chi deve applicare il GDPR si può trovare di fronte.

A vantaggio del lettore si riportano alcuni degli esempi pubblicati nelle Linee guida e da noi tradotti.

Esempio 1: una società di produzione automobilistica con sede negli Stati Uniti ha una filiale di proprietà e ufficio con sede a Bruxelles che supervisiona tutte le sue operazioni in Europa, compreso il marketing e le campagne pubblicitarie. La filiale belga può essere considerata come un accordo stabile, che esercita una reale ed efficace attività alla luce della natura dell'attività economica svolta dalla casa automobilistica. In quanto tale, la succursale belga potrebbe pertanto essere considerata come uno stabilimento nell'Unione, all'interno di il significato del GDPR.  

Esempio 2: un sito di e-commerce gestito da una società con sede in Cina, il cui trattamento dei dati avviene esclusivamente in territorio cinese, ha stabilito un ufficio europeo a Berlino per condurre e attuare campagne pubblicitarie e di marketing verso i mercati della UE. In questo caso, si può ritenere che le attività dell'ufficio europeo a Berlino siano collegate al trattamento dei dati personali effettuato dal sito di e-commerce cinese, nella misura in cui la campagna pubblicitaria e di marketing verso i mercati dell'UE, in particolare, serve a rendere il servizio offerto dal sito di e-commerce redditizio. Il trattamento dei dati personali da parte dei cinesi può quindi essere considerato come svolto nel contesto delle attività della Comunità Europea e quindi essere soggetto alle disposizioni del GDPR come da articolo 3, paragrafo 1    

Esempio 3: una catena di hotel e resort in Sud Africa offre pacchetti di offerte attraverso il suo sito Web, disponibili in inglese, tedesco, francese e spagnolo. La compagnia non ha ufficio, rappresentanza o accordo stabile nell'UE. In questo caso, in assenza di qualsiasi sistemazione stabile della catena di hotel e resort all'interno del territorio dell'Unione, sembra che nessuna entità UE sia collegata a questo titolare del trattamento dei dati ai sensi del GDPR. Pertanto il trattamento non può essere soggetto alle disposizioni del GDPR, ai sensi dell'articolo 3, paragrafo 1. Tuttavia, deve essere analizzato in concreto se il trattamento effettuato da questo titolare dei dati stabiliti al di fuori dell'UE può essere soggetto al GDPR, come previsto dall'articolo 3, paragrafo 2.  

Esempio 4: Un'azienda francese ha sviluppato un'applicazione di car sharing esclusivamente indirizzata a clienti in Marocco, Algeria e Tunisia. Il servizio è disponibile solo in questi tre paesi ma tutte le attività di trattamento dei dati personali sono svolte dal responsabile del trattamento dei dati in Francia. Mentre la raccolta di dati personali avviene in paesi extra UE, la successiva elaborazione di i dati personali in questo caso viene eseguita nel contesto delle attività di uno stabilimento di un dato titolare nell'Unione. Pertanto, anche se il trattamento si riferisce a dati personali degli interessati che non sono nell'Unione, le disposizioni del GDPR si applicheranno al trattamento effettuato dal Società francese, di cui all'articolo 3, paragrafo 1.    

Esempio 5: un'azienda farmaceutica con sede a Stoccolma effettua attività di trattamento dati, per quanto riguarda le sperimentazioni cliniche, nella sua filiale con sede a Singapore. Secondo la struttura aziendale, la filiale di Singapore non è un'entità giuridicamente distinta dalla sede di Stoccolma in quanto quest'ultima determina lo scopo e i mezzi del trattamento dei dati effettuato per suo conto dalla filiale con sede a Singapore. In questo caso, mentre le attività di elaborazione si svolgono a Singapore, tale elaborazione viene effettuata nel contesto delle attività della compagnia farmaceutica di Stoccolma, cioè di un responsabile del trattamento dei dati stabilito nell'Unione. Le disposizioni del GDPR si applicano pertanto a tale trattamento, ai sensi dell'art 3 (1).  

Esempio 6: un istituto di ricerca finlandese svolge ricerche relative al popolo Sami. L'Istituto lancia un progetto che riguarda solo i Sami in Russia. Per questo progetto l'istituto ricorre ad un responsabile con sede in Canada. Mentre il GDPR non si applicherebbe direttamente al responsabile canadese, il titolare finlandese ha il dovere di utilizzare solo responsabili che forniscono garanzie sufficienti in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca il protezione dei diritti degli interessati. Il titolare finlandese deve stipulare un accordo in materia di trattamento dei dati con il responsabile canadese e le funzioni del responsabile del trattamento saranno stabilite in tale atto giuridico.  

Va rivolto un plauso ai garanti europei in materia di protezione dei dati personali che attraverso suddette Linee guida hanno fornito elementi aggiuntivi a quanto stabilito nel GDPR ad uso di chi è chiamato ad applicare la normativa.