Il regolamento europeo in materia di protezione dei dati personali si applica anche ad aziende non europee e non aventi sede in Europa.
Laddove il trattamento dei dati personali rientra nell’ambito di applicazione territoriale del GDPR, tutte le disposizioni del Regolamento si applicano a tale trattamento. Col GDPR il legislatore europeo ha recepito le sentenze della Corte di Giustizia europea e i pareri del Gruppo Articolo 29. La normativa europea precedente al GDPR trovava il suo limite nell'escludere l'applicabilità ai trattamenti effettuati da chi ha stabilimento al di fuori dell'Unione e sostiene di non compiere trattamenti di dati nel territorio dell'Unione. E' il caso delle aziende tecnologiche americane che per anni hanno sostenuto di avere nell'Unione solo agenzie di vendita commerciale di servizi che, però, non operano nessun trattamento di dati personali.
Questa linea di difesa ha cominciato a cedere col Parere n. 8/2010 del Gruppo Articolo 29 e la sentenza Google Spain della Corte di Giustizia europea. La Corte di Giustizia ha, infatti, affermato che anche la sola vendita di servizi configura un trattamento dati e quindi comporta l'applicabilità della normativa europea. Infine, con la sentenza C-230/14 (sentenza Weltimmo), la Corte di Giustizia europea ha sancito definitivamente che la forma giuridica di stabilimento (cioè il rappresentante nel territorio nazionale) non è il fattore predominante per decidere sulla giurisdizione, ma occorre verificare se:
- l'azienda esercita un'attività reale anche minima;
- l'attività viene realizzata mediante un'organizzazione stabile;
- i dati sono trattati nel contesto di tale attività.
In presenza di tali requisiti l'azienda è soggetta alla giurisdizione dello Stato nel quale esercita tale attività.
Anche il Garante italiano (provvedimento 11 febbraio 2016), in applicazione della sentenza Weltimmo, ha sancito che Facebook Italy, la quale svolge solo attività di marketing per conto di Facebook Ireland, pur non esercitando alcun trattamento di dati (che sono trattati nella sede irlandese) svolge comunque attività connesse economicamente con Facebook Ireland e quindi la competenza si radica nel territorio dello Stato italiano.
A seguito di una lenta evoluzione si è giunti a questo risultato col Regolamento Generale che stabilisce l'ambito di applicazione territoriale all'interno dell'articolo 3:
Ambito di applicazione territoriale
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Quindi, per valutare l'applicabilità del GDPR ad un trattamento di dati personali si considerano due criteri: quello di stabilimento e quello di targeting. Se uno dei due è soddisfatto si applica il GDPR.
Criterio di stabilimento
Il primo citerio per stabilire la giurisdizione è il principio di stabilimento introdotto con la normativa precedente al GDPR (articolo 52 e seguenti del Trattato CE). Questo principio prevede che un'azienda "stabilita" in un certo paese e che elabora dati nel contesto di tale stabilimento è soggetta alla giurisdizione del paese di stabilimento. La nozione di stabilimento, quindi, è legata ad un'organizzazione stabile che svolge una attività economica a tempo indeterminato (si tratta del medesimo principio applicato dall'Agenzia delle Entrate italiana).
I dati, quindi, possono anche essere detenuti all'estero, purché il soggetto che li tratta (sia esso titolare o responsabile del trattamento) sia stabilito nel territorio nazionale. In base al Considerando 22 "lo stabilimetno implica l'effettivo e reale svolgimento di attività nel quadro di un'organizzazione stabile", per cui è irrilevante la forma giuridica assunta, sia essa una succursale o una filiale. Il Considerando 23 ritiene rilevanti, a tale scopo, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione. La Corte di Giustizia europea fornisce indicazioni su una serie di fattori da tenere in considerazione, tra i quali il contesto nel quale viene esercitata l'attività. Per un servizio commerciale online, ad esempio, sono fattori cruciali la lingua nella quale è redatto il sito, e l'utenza alla quale si rivolge. Anche l'apertura di un conto bancario in un determinato Stato ha rilievo.
A tal proposito è intervenuto l'EDPB con le Linee guida sull'ambito territoriale del GDPR, emanate il 12 novembre 2019. Le Linee guida chiariscono i criteri per determinare l’applicazione dell’articolo 3 del GDPR. In base alle Linee guida l'ubicazione geografica non è rilevante, per determinare se un soggetto è stabilito in uno Stato membro occorre considerare “sia il grado di stabilità degli accordi (indipendentemente dalla sua forma giuridica) sia l’esercizio reale ed effettivo delle attività (anche minime) in tale Stato membro […] alla luce della natura specifica delle attività economiche e della prestazione di servizi interessati”. La soglia per la stabile organizzazione è piuttosto bassa in quanto anche la presenza di un solo dipendente con sufficiente grado di stabilità potrebbe portare all’applicazione del GDPR. Tuttavia non è possibile considerare un ente extra-UE come stabilito nel territorio dell'Unione solo perché il suo sito web è accessibile nell'Unione.
Inoltre l’EDPB raccomanda di effettuare una valutazione caso per caso prendendo in considerazione il rapporto tra un titolare del trattamento o un trattamento al di fuori dell'Unione e il suo stabilimento locale nell'Unione e la raccolta di entrate nell’Unione, nella misura in cui tali attività possono essere considerate indissolubilmente legate al trattamento dei dati personali che avviene al di fuori dell’UE.
Ad esempio ai fini dell'applicazione del principio di stabilimento è rilevante la presenza degli strumenti elettronici nel territorio dell'Unione (un caso classico è quello dei cookie che vengono installati sui dispositivi degli utenti che si trovano fisicamente nel territorio dello Stato europeo).
Infine, si ricorda che la rappresentanza consolare o diplomatica determina la competenza territoriale europea del trattamento.
Il criterio di targeting
Oltre al principio di stabilimento, per valutare l'applicabilità del GDPR si fa riferimento anche al criterio di targeting, come previsto dall'articolo 3, par. 2 del GDPR. Oggi infatti si guarda soprattutto ai soggetti destinatari dei servizi e dei beni offerti dall'azienda (cioè gli interessati) per stabilire l'assoggettamento del trattamento alla giurisdizione europea. Quindi, anche le aziende che si trovano al di fuori dell'Unione europea ma che tuttavia elaborano dati personali di soggetti che si trovano nel territorio dell'Unione europea devono osservare le norme del GDPR.
Anche qui ci aiutano le Linee guida dell’EDPB che prevedono l'applicabilità delle norme europee se:
- il trattamento riguarda dati personali di interessati che si trovano nell’Unione, laddove non è determinante se si tratta di residenza, cittadinanza o un qualsiasi stato giuridico, ciò che rileva è che l'interessato si trovi fisicamente nel territorio dell'Unione europea;
- la presenza dell'interessato nell'Unione deve essere valutata nel momento in cui si svolge l'attività determinante.
L'articolo in questione si applica quando si è in presenza di attività che prendono di mira intenzionalmente, anziché incidentalmente, individui che si trovano nel territorio dell'Unione. il solo trattamento dei dati personali degli interessati nell’Unione non è sufficiente a far scattare l’applicazione del GDPR, eve essere sempre presente in aggiunta l'elemento di prendere di mira gli individui nell'UE, offrendo loro beni o servizi o monitorando il loro comportamento.
In secondo luogo, occorre valutare se il trattamento riguarda:
a) l’offerta di beni o servizi a soggetti nell’UE oppure
b) il monitoraggio del comportamento degli individui nell’UE.
Con riferimento all'offerta di beni e servizi è irrilevante se siano a pagamento o meni, o a distanza. Si considerano fattori rilevanti se il titolare o il responsabile del trattamento pagano un gestore di un motore di ricerca per un servizio di posizionamento su Internet al fine di facilitare l'accesso dei consumatori al sito web, se hanno lanciato campagna marketing rivolte al pubblico nel territorio dell'UE, l'utilizzo di nomi a dominio europei, la descrizione di istruzioni di viaggio a partire da una località nel territorio dell'UE.
Con riferimento all'attività di monitoraggio, questa deve riguardare un interessato nel territorio dell'UE, il comportamento monitorato deve avvenire nell'interno del territorio dell'UE. Per monitoraggio si intende la pubblicità comportamentale, la geolocalizzazione, il tracciamento tramite cookie o tecnologie similari, servizi di analisi relativi alla salute (es. dieta), indagini di mercato.
Rappresentante e autorità di controllo
Se siamo in presenza di un trattamento effettuato all'interno dell'Unione sorge l'obbligo di nominare un rappresentante nello Stato membro.
In base ai medesimi principi si decide l'autorità di controllo competente in merito ad un trattamento di dati. Per i trattamenti transfrontalieri è competente l'autorità di controllo del paese di stabilimento principale o dello stabilimento unico del titolare o responsabile del trattamento, la quale agisce come capofila nel controllo del flusso dei dati. Nel caso di reclami o controversie sorte in altro paese l'autorità di controllo locale informa l'autorità di controllo capofila (leading authority) in merito alla questione, e poi quest'ultima decide se trattare il caso o meno. Se la capofila decide di trattare il caso si applica l'articolo 60 del regolamento europeo, e le autorità nazionali coinvolte cooperano tra loro. In caso contrario il caso viene trattato dall'autorità di controllo locale che ha investito la capofila. In ogni caso deve essere osservato il principio di coerenza.
