L’ambito di applicazione territoriale del GDPR

Sommario: Premesse – 1. Il criterio dello “stabilimento” ex art. 3 paragrafo 1) del GDPR – 2. Il criterio dell’ “indirizzamento” (targeting) del trattamento ex art. 3 paragrafo 2) del GDPR

Premesse

Le Linee Guida n. 3/2018, adottate dall’EDPB il 12.11.2018, espongono e, soprattutto, chiariscono i criteri volti a determinare l’ambito di applicazione territoriale del Regolamento UE n. 2016/679 (GDPR), tematica che, senza alcun dubbio, rappresenta, nel suo complesso, una significativa evoluzione della normativa comunitaria sulla protezione dei dati personali, rispetto al previgente quadro definito dalla Direttiva n. 95/46/CE (Direttiva).

Dal punto di vista costruttivo, tale disciplina è sviluppata integralmente all’interno dell’art. 3 del GDPR (in particolar modo, ai paragrafi 1) e 2) dell’articolo in commento, in quanto il terzo costituisce un’ipotesi applicativa peculiare e di marginalissima ricorrenza concreta), e si fonda su due principali e fondamentali criteri tra loro alternativi[1], ovverosia quello dello “stabilimento” e quello dell’”indirizzamento” (targeting) del trattamento.

Ai fini di una piena comprensione della tematica in analisi, giova premettere come l’EDPB abbia precisato, al riguardo, che l’art. 3 del GDPR mira, invero, a determinare se una specifica attività di trattamento – e, dunque, non già una specifica persona (fisica o giuridica) – rientri (o meno) nell’ambito di applicazione del GDPR: ciò determina, di conseguenza, che alcune attività di trattamento di dati personali, effettuate da un Titolare o da un Responsabile del trattamento, potrebbero rientrare nell’ambito di applicazione della normativa in questione, mentre tal altre potrebbero, quindi, non esserne soggette.

1. Il criterio dello “stabilimento” ex art. 3 paragrafo 1) del GDPR

L’art. 3 paragrafo 1) del GDPR (“Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”) assicura che il GDPR si applichi al trattamento realizzato da un Titolare o da un Responsabile del trattamento nel contesto delle attività di uno stabilimento di tale Titolare o Responsabile all’interno dell’UE, a prescindere dal luogo effettivo del trattamento[2].

A tal fine, l’EDPB ha raccomandato l’utilizzo di un approccio “tripartito”, volto, appunto, a determinare se un trattamento di dati personali rientri (o meno) nell’ambito di applicazione del GDPR, a norma del relativo art. 3 paragrafo 1):

a. Concetto di “stabilimento” nell’UE

Il Considerando n. 22) del GDPR fornisce una definizione, seppur informale, del concetto di “stabilimento”, chiarendo che esso “implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tal riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica”. Questa formulazione è identica a quella del Considerando n. 19) dell’abrogata Direttiva, a cui è stato fatto riferimento in numerose sentenze della CGUE[3], le quali hanno avuto il pregio di ampliare l’interpretazione del termine “stabilimento”, discostandosi così da un’impostazione meramente formalistica secondo cui un’impresa sarebbe stabilita esclusivamente nel luogo in cui è registrata; di fatto, la CGUE ha affermato che tale nozione debba estendersi a qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione stabile[4].

b. Trattamento dei dati personali effettuato “nell’ambito delle attività” di uno stabilimento

Una volta appurato, dunque, che un Titolare (o un Responsabile) del trattamento è stabilito all’interno dell’UE, è necessario analizzare, in concreto, se il trattamento preso in considerazione venga effettuato nell’ambito (o meglio, nel contesto) delle attività di tale stabilimento.

In proposito, l’EDPB ha individuato due (macro) fattori, il cui esame può, senz’altro, agevolare a determinare se il trattamento sia effettuato da un Titolare (o da un Responsabile) del trattamento nel contesto, appunto, del suo stabilimento sito nell’Unione Europea:

i. Rapporto tra un Titolare (o Responsabile) del trattamento extra UE ed il suo stabilimento situato nell’UE

Il merito, l’EDPB ha precisato che se da un’analisi concreta emerge l’esistenza di un nesso indissolubile tra il trattamento dei dati personali effettuato da un Titolare o da un Responsabile del trattamento extra UE e le attività di uno stabilimento nell’UE, il GDPR si applica al trattamento svolto dal soggetto extra UE, a prescindere dal fatto che lo stabilimento in UE svolga o meno un ruolo nel suddetto trattamento.

A tal fine, risulta assolutamente utile il recupero di un fondamentale contributivo interpretativo sviluppatosi nel passato (e, allo stato attuale, ancora degno di rilievo, stante la descritta continuità con l’art. 4 dell’abrogata Direttiva), rappresentato dalla citata sentenza della CGUE “Google Spain e Google”, la quale ha fornito essenziali chiarimenti su uno dei possibili significati da attribuire al “contesto delle attività” del trattamento: nello specifico, l’interesse della pronuncia è stato quello di avere ravvisato un’inscindibile connessione tra la società Google, avente sede legale ed operativa extra UE, e la sua controllata europea Google Spain, attiva a livello locale unicamente nella raccolta pubblicitaria, riconoscendo in tale attività promozionale “il mezzo per rendere il motore di ricerca […] economicamente redditizio” ed essendo “il motore […], al tempo stesso, lo strumento che consente lo svolgimento di dette attività”.

ii. Realizzazione di ricavi nell’UE

A tal riguardo, l’EDPB ha osservato che la realizzazione di ricavi nell’UE da parte di uno stabilimento locale, nella misura in cui tali attività possono essere considerate “inscindibilmente connesse” al trattamento di dati personali che avviene al di fuori dell’UE ed a singoli individui nell’UE, può essere indicativa del fatto che un Titolare o un Responsabile del trattamento extra UE effettui un trattamento nell’ambito delle attività dello stabilimento nell’UE, e può essere sufficiente a innescare l’applicazione del GDPR a tale trattamento[5].

c. Applicazione del GDPR allo stabilimento di un Titolare o di un Responsabile del trattamento nell’UE, a prescindere dal fatto che il trattamento avvenga o meno nell’Unione

L’art. 3 paragrafo 1) del GDPR specifica che la normativa in questione si applica al trattamento nell’ambito delle attività di uno stabilimento nell’UE “a prescindere dal fatto che il trattamento sia effettuato o meno nell’Unione”[6].

Dunque, è la presenza, attraverso uno stabilimento, di un Titolare o di un Responsabile del trattamento nell’UE e, per altro verso, il fatto che il trattamento avviene nell’ambito delle attività di tale stabilimento ad innescare l’applicazione del GDPR alle rispettive attività di trattamento: pertanto, l’ubicazione geografica è irrilevante per quanto riguarda il luogo in cui viene effettuato il trattamento ovvero il luogo in cui si trovano i relativi soggetti interessati, così come peraltro sancito dal Considerando n. 2)[7] e 14)[8] del GDPR.

A chiusura, preme rilevare che nel caso in cui un Titolare del trattamento, soggetto al GDPR, ricorra ad un Responsabile del trattamento, stabilito al di fuori dell’UE, ai fini dell’esecuzione di una determinata attività di trattamento, il primo sarà, comunque, tenuto ad assicurare, mediante un contratto o un altro atto giuridico, che il secondo esegua il trattamento dei dati in conformità al GDPR: di conseguenza, il Titolare del trattamento in questione deve fare in modo di stipulare con il Responsabile del trattamento un contratto che risponda a tutti i requisiti di cui all’art. 28 del GDPR, onde così vincolarlo, seppur indirettamente, a tale normativa[9].

2. Il criterio dell’”indirizzamento” (targeting) del trattamento ex art. 3 paragrafo 2) del GDPR

L’assenza di uno stabilimento nell’UE non significa necessariamente che le attività di trattamento, da parte di un Titolare o di un Responsabile del trattamento stabilito in un paese cd. terzo, siano da considerare escluse dall’ambito di applicazione del GDPR, dato che l’art. 3 paragrafo 2) precisa le circostanze nelle quali si applica il GDPR a un Titolare o a un Responsabile del trattamento non stabilito nell’UE, a seconda delle attività di trattamento: tale regola rappresenta la maggior novità introdotta dal GDPR rispetto alla Direttiva, e valorizza il profilo soggettivo del trattamento, ossia quello della destinazione a soggetti interessati nel territorio dell’Unione Europea, dando, in tal modo, rilevanza agli effetti sui soggetti dell’UE rispetto a trattamenti interamente amministrati all’esterno di essa.

Nell’esaminare le condizioni per l’applicazione del criterio del targeting del trattamento, l’EDPB ha raccomandato, in tal caso, un approccio “bifasico”, al fine di determinare, in primo luogo, se il trattamento si riferisce a dati personali di interessati che si trovano nell’UE e, in secondo luogo, se riguarda l’offerta di beni o la prestazione di servizi o il monitoraggio del comportamento di soggetti interessati all’interno dell’Unione Europea.

a. Soggetti interessati nell’UE

L’applicazione del criterio del targeting non è da considerarsi limitato dalla cittadinanza, dalla residenza o da altri elementi propri della condizione giuridica del soggetto interessato: infatti, tale disposizione del GDPR riflette la normativa primaria dell’UE, la quale stabilisce un ampio ambito di applicazione per la tutela dei dati personali, non limitato ai cittadini UE attraverso l’art. 8 paragrafo 1) della Carta dei diritti fondamentali dell’UE (“Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”).

Il requisito secondo cui l’interessato deve trovarsi nell’UE va valutato nel momento in cui avviene la pertinente attività che innesca l’applicazione, vale a dire nel momento dell’offerta di beni o della prestazione di servizi o nel momento in cui viene monitorato il comportamento, indipendentemente dalla durata dell’offerta o del monitoraggio effettuato: a tal riguardo, l’EDPB ha precisato che, in relazione alle attività di trattamento inerenti l’offerta di servizi, la disposizione debba considerarsi rivolta alle attività che intenzionalmente, e dunque non già inavvertitamente, sono indirizzate ad individui che si trovano all’interno dell’Unione Europea; di conseguenza, se il trattamento riguarda un servizio offerto esclusivamente a individui al di fuori dell’UE, e non viene sospeso quando questi ultimi entrano nell’UE, il trattamento correlato non è soggetto al GDPR[10].

L’EDPB ha, infine, sottolineato il fatto che trattare dati personali di una persona fisica nell’UE non è sufficiente, di per sé, a configurare l’applicabilità del GDPR alle attività di trattamento di un Titolare o di un Responsabile del trattamento non stabilito nell’UE; oltre a questo, infatti, tali attività devono sempre “indirizzarsi” a persone fisiche che si trovano nell’UE, in quanto vengono offerti a loro beni o servizi, o ne viene monitorato il comportamento.

b. Offerta di beni o prestazione di servizi a interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato

La prima attività che innesca l’applicazione dell’art. 3 paragrafo 2) del GDPR è l’”offerta di beni o la prestazione di servizi”, ivi inclusi quelli della società dell’informazione ex art. 1 paragrafo 1) lettera b) della Direttiva n. 2015/1535/CE[11].

Un altro elemento chiave da tenere presente nel determinare se sia soddisfatto il criterio dell’indirizzamento consiste nel verificare se l’offerta di beni o servizi sia rivolta a una persona nell’UE o, in altre parole, se la condotta da parte del Titolare del trattamento – che determina, com’è noto, i mezzi e gli scopi del trattamento – dimostra la sua intenzione di offrire beni o servizi a un interessato che si trova nell’Unione Europea.

A supporto di tale approccio complesso (e centrato sulle caratteristiche del caso concreto) può registrarsi sia il Considerando n. 23)[12] del GDPR sia gli indici, valorizzati dall’EDPB in chiave di case law, forniti dalla CGUE nella decisione del 7.12.2010 (C-585/18 e C-144/09; caso “Pammer/Reederei Karl Schluter GmbH & Co” e “Hotel Alpenhof/Heller”), di seguito descritti, seppur a titolo soltanto esemplificativo: i) l’UE, o almeno uno Stato membro, sono indicati nominativamente in riferimento al bene o al servizio offerto; ii) il Titolare o il Responsabile del trattamento paga il gestore di un motore di ricerca per un servizio di posizionamento su Internet al fine di facilitare l’accesso al proprio sito da parte di consumatori dell’UE, oppure il Titolare o il Responsabile del trattamento ha avviato campagne pubblicitarie e di marketing rivolte al pubblico di un paese dell’UE; iii) l’uso di una lingua o una valuta diverse da quelle generalmente utilizzate nel paese del commerciante; iv) il Titolare del trattamento offre la consegna di beni negli Stati membri dell’UE.

c. Monitoraggio del comportamento degli interessati

Il secondo tipo di attività che comporta l’applicazione dell’art. 3 paragrafo 2) del GDPR è il monitoraggio del comportamento dei soggetti interessati, nella misura in cui il loro comportamento avviene all’interno dell’UE: dunque, tale attività deve riguardare un interessato nell’UE e, come criterio cumulativo, deve avvenire all’interno dell’UE.

Benché il Considerando n. 24)[13] del GDPR afferma che la natura dell’attività di trattamento che può essere considerata “monitoraggio del comportamento” è soltanto quella che avviene attraverso il tracciamento di una persona su Internet, l’EDPB ha ritenuto che essa debba tenere conto anche del tracciamento attraverso altri tipi di rete o di tecnologie che comportano il trattamento di dati personali (es. IoT), e a tal fine ha individuato una vasta gamma di esempi di attività di monitoraggio, fra cui in particolare: i) pubblicità comportamentale; ii) attività di geolocalizzazione, in particolare a scopi di marketing; iii) fingerprinting; iv) CCTV; v) indagini di mercato e altri studi comportamentali basata su profili individuali; vi) monitoraggio o comunicazione regolare sullo stato di salute di un individuo.

In conclusione, si rileva che il Titolare o il Responsabile del trattamento, soggetto al GDPR ai sensi del relativo art. 3 paragrafo 2), è tenuto a designare un proprio rappresentante nell’UE, a meno che siano soddisfatti i criteri di esenzione ex art. 27 paragrafo 2) del GDPR.

[1] Qualora sia soddisfatto uno di questi due criteri, il Titolare (o il Responsabile) del trattamento deve applicare le pertinenti disposizioni del GDPR al trattamento dei dati personali in questione: è, pertanto, essenziale che il Titolare (o il Responsabile) del trattamento, specie quello che offre beni e servizi a livello internazionale, effettui un’attenta valutazione, in concreto, delle proprie attività di trattamento, al fine di determinare se il trattamento dei dati personali in analisi rientri o meno nell’ambito di applicazione del GDPR.

[2] Ai fini di una migliore intellegibilità del testo normativo in commento, occorre eliminare il refuso “da parte” che costituisce un artefatto del traduttore (rispetto alla sua versione in lingua inglese): in tal modo, viene restituita chiarezza al termine di rilievo nel precetto normativo, vale a dire la collocazione geografica dello stabilimento “rilevante”; il punto dirimente è che esso sia nell’UE e non, più genericamente, che il Titolare o il Responsabile siano nell’UE. L’intero primo paragrafo dell’articolo in commento riproduce, in sostanza, l’art. 4 n. 1 lettera a) della Direttiva, e non rappresenta, dunque, una soluzione originale: infatti, già la Direttiva permetteva forme di applicazione extra territoriale della disciplina europea, facendo leva sul concetto, appunto, di contesto delle attività, come emerge dalla fondamentale decisione della CGUE del 13.5.2014 (C-131-12, Google Spani e Google). La principale novità rispetto al passato è costituita, invece, dall’inclusione nel precetto normativo anche del Responsabile del trattamento, cosa che ha determinato un notevole ampliamento del perimetro applicativo della disposizione e il vantaggio di prescindere da sottili questioni di allocazione dei ruoli di trattamento.

[3] È stato considerato “stabilimento” una società controllata (CGUE, Google Spain e Google) ovvero un rappresentante (CGUE, 1.10.2015, C-230-14, Weltimmo). Nel caso “Weltimmo”, è stata valorizzata dalla CGUE la presenza in uno Stato membro (Ungheria) di una persona fisica meramente incaricata del recupero crediti in ambito locale e della rappresentanza giudiziale e amministrativa del Titolare del trattamento, mentre quest’ultimo, la società Weltimmo S.r.o., risultava stabilita in un diverso Stato membro (Slovacchia): nella specie, il grado di stabilità sufficiente è stato ravvisato non solo e non tanto nella circostanza che il rappresentante avesse la disponibilità di un conto bancario ungherese e di una casella postale ungherese, quanto piuttosto nella circostanza che i servizi offerti, ossia una piattaforma web nella quale potevano essere pubblicati annunci immobiliari, fossero diretti verso un’utenza ungherese. Giova, infine, notare che, all’interno dell’Opinione n. 8/2010 del WP 29, sono state indicate una serie di esempi di organizzazione stabile: uno studio di un avvocato; un ufficio unipersonale che non si limiti a rappresentare un soggetto, ma partecipi attivamente alle attività di quel soggetto; un semplice agente. All’opposto, non sono stati considerati uno “stabilimento” un server, un computer ovvero la mera accessibilità di un sito internet dell’UE.

[4] La soglia per configurare una “organizzazione stabile” può essere piuttosto bassa quando le attività di un Titolare del trattamento si focalizzano sulla prestazione di servizi online: di conseguenza, in alcune circostanze la presenza, all’interno dell’UE, di un solo dipendente o agente di un soggetto extra UE può essere sufficiente a configurare una stabile organizzazione, se l’attività di tale dipendente o agente è sufficientemente stabile; di contro, quando un dipendente è localizzato nell’UE ma il trattamento non viene effettuato nel contesto delle attività di tale dipendente nell’UE (ossia, il trattamento riguarda un attività del Titolare del trattamento al di fuori dell’UE), la mera presenza di un dipendente nell’UE non fa sì che il trattamento rientri nell’ambito di applicazione del GDPR.

[5] Esempio n. 2) delle Linee Guida: “Un sito web di e-commerce è gestito da una società con sede in Cina. Le attività di trattamento dei dati personali della società sono svolte esclusivamente in Cina. La società cinese ha aperto un ufficio europeo a Berlino per guidare e dirigere la prospezione commerciale e le campagne di marketing rivolte ai mercati UE. In questo caso, si può ritenere che le attività dell’ufficio europeo di Berlino siano inscindibilmente connesse al trattamento di dati personali effettuato dal sito web cinese di commercio elettronico, nella misura in cui la prospezione commerciale e le campagne di marketing rivolte ai mercati dell’UE servono per rendere redditizio il servizio offerto tramite il sito web di commercio elettronico. Il trattamento dei dati personali da parte della società cinese in relazione alle vendite nell’UE è infatti inscindibilmente connesso alle attività dell’ufficio europeo di Berlino inerenti alla prospezione commerciale e alle campagne di marketing rivolte al mercato UE. Il trattamento dei dati personali da parte della società cinese in relazione alle vendite nell’UE può quindi essere considerato come effettuato nell’ambito delle attività dell’ufficio europeo in quanto stabilimento nell’Unione. Questa attività di trattamento della società cinese sarà quindi soggetta alle disposizioni del RGPD di cui all’articolo 3, paragrafo 1”.

[6] Esempio n. 4) delle Linee Guida: “Una società francese ha sviluppato un’applicazione di car sharing destinata esclusivamente a clienti di Marocco, Algeria e Tunisia. Il servizio è disponibile solo in questi tre paesi ma tutte le attività di trattamento di dati personali sono svolte dal titolare del trattamento dei dati in Francia. Sebbene la raccolta di dati personali avvenga in paesi extra UE, il successivo trattamento di tali dati, in questo caso, viene effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento nell’Unione. Pertanto, benché il trattamento si riferisca ai dati personali di interessati che non si trovano nell’Unione europea, le disposizioni del RGPD si applicheranno al trattamento effettuato dalla società francese a norma dell’articolo 3, paragrafo 1”.

[7] Considerando n. 2) del GDPR: “I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza…”.

[8] Considerando n. 14) del GDPR: “E’ opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali…”.

[9] Esempio n. 6) delle Linee Guida: “Un istituto di ricerca finlandese svolge attività di ricerca sulla popolazione sami. L’istituto vara un progetto che riguarda esclusivamente la popolazione sami in Russia. Per questo progetto l’istituto utilizza un responsabile del trattamento con sede in Canada. Il titolare del trattamento finlandese è tenuto a utilizzare esclusivamente responsabili del trattamento che offrano garanzie sufficienti ad attuare le opportune misure, in modo tale che il trattamento risponda ai requisiti del RGPD e garantisca la tutela dei diritti degli interessati. Inoltre, deve sottoscrivere un accordo sul trattamento dei dati con il responsabile del trattamento canadese, i cui obblighi sono stipulati in tale atto giuridico”.

[10] Esempio n. 8) delle Linee Guida: “Un’impresa australiana offre un servizio mobile di notizie e contenuti basati sulle preferenze e gli interessi degli utenti. Questi ultimi possono ricevere aggiornamenti quotidiani o settimanali. Il servizio è offerto esclusivamente a utenti ubicati in Australia, che devono fornire un numero di telefono australiano all’atto dell’abbonamento. Un abbonato australiano del servizio si reca in Germania in vacanza e continua ad utilizzare il servizio. Sebbene l’abbonato australiano possa utilizzare il servizio durante il suo soggiorno nell’UE, il servizio non è “indirizzato” a persone che si trovano nell’Unione, bensì solo a persone in Australia; pertanto il trattamento dei dati personali da parte dell’impresa australiana non ricade nell’ambito di applicazione del RGPD”.

[11] Art. 1 paragrafo 1) lettera b) della Direttiva n. 2015/1535/CE: “…qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi”.

[12] Considerando n. 23) del GDPR: “…Per determinare se tale titolare o responsabile del trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione. Mentre la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell’Unione”.

[13] Considerando n. 24) del GDPR: “…Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.