L’applicazione territoriale extra – comunitaria del GDPR: l’Art 3
di Eleonora Beltrame
Premessa
Nonostante l’Unione Europea (UE) fosse dotata di una legislazione in materia di protezione dei dati fin dal 1995 (direttiva 95/46/CE),[1] la rapidità del progresso tecnologico e l’esponenziale aumento della condivisione e della raccolta dei dati, considerati sempre più fondamentali per la crescita economica, sollevarono nuove sfide da affrontare e aspetti da disciplinare. Per tale motivo, nel 2018 l’Unione ha adottato il General Data Protection Regulation (GDPR), uno dei progetti di legge più ambiziosi intrapresi negli ultimi anni.
L’approccio statico alla tutela e al trasferimento dei dati della direttiva 95/46/CE, incentrato sulla relazione biunivoca tra titolare del trattamento e interessato in una visione proprietaria del dato stesso,[2] non consentiva a questa di garantire un livello di protezione uniforme all’interno e all’esterno dei confini dell’UE. In più, la natura dell’atto quale direttiva e non regolamento non permetteva il raggiungimento di un livello coerente di protezione dei dati personali in tutta l’Unione, ma anzi favoriva all’interno delle differenti legislazioni nazionali disparità che avrebbero potuto ostacolare la libera circolazione dei dati nel mercato interno.
Il radicamento della società dell’informazione e di un cyberspazio privo di confini dettò l’esigenza di una nuova disciplina in materia di tutela dei dati, direttamente applicabile all’interno degli Stati membri e avente carattere transnazionale, così da poter garantire il medesimo livello di protezione dentro e fuori i confini comunitari.[3]
La finalità di questo articolo è quella di analizzare il GDPR, e in particolare modo l’Art 3, al fine di individuare in quale modo il legislatore comunitario abbia raggiunto l’obiettivo di una protezione onnicomprensiva e transfrontaliera dei dati, attraverso una disciplina precisa, ma che non ostacola la circolazione dei dati.
L’ambito di applicazione territoriale del GDPR: l’Art 3
L’Art 3 del Regolamento Generale sulla Protezione dei Dati definisce l’ambito di applicazione territoriale delle disposizioni. Si tratta di un ambito di applicazione territoriale particolarmente ampio, che interessa diverse entità situate sia all’interno sia all’esterno dell’UE.[4]
L’Art 3(1) specifica che il regolamento “si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.
Il comma 2 estende invece l’applicazione “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.
Infine, il comma 3 prevede che il regolamento si applichi anche “al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto pubblico internazionale”.
Il testo dell’Art 3 si rivela innovativo per quanto riguarda l’applicabilità territoriale del GDPR, introducendo due criteri precisi per la definizione dell’ambito di applicazione del regolamento, tali da estenderne gli effetti oltre i confini dell’UE: il criterio di stabilimento e il criterio del target. Infatti, al di là del richiamo al diritto pubblico internazionale contenuto nel comma 3, l’Articolo in questione prevede che le disposizioni del GDPR siano vincolanti non solo per le entità stabilite nell’UE (Art 3.1), come precedentemente previsto anche dalla direttiva 95/46/CE,[5] ma anche per le entità non stabilite nell’UE che, offrendo beni, prestando servizi o monitorando il comportamento di persone fisiche che si trovano nell’UE, ne trattino i dati personali (Art 3.2).
Considerando le pesanti sanzioni previste dal GDPR, la corretta lettura e interpretazione dell’innovativo Art 3 è fondamentale soprattutto per le entità che operano al di fuori del territorio comunitario. Al fine di determinare un orientamento chiaro e solido in materia, in grado di garantire l’applicazione del GDPR al di fuori dei confini europei senza ledere la sovranità di altri stati, nel gennaio 2019 lo European Data Protection Board (EDPB) ha pubblicato le linee guida relative all’applicazione territoriale del regolamento,[6] contenenti la prospettiva dell’Unione dei Garanti Europei relativamente ai due criteri guida emergenti dai commi 1 e 2 dell’Art 3.
Il principio di stabilimento
Il principio di stabilimento, noto anche come establishment criterion e già presente all’interno della direttiva 95/46/CE, è espresso nell’Art 3(1).[7] Secondo tale principio, il luogo geografico in cui viene effettuato il trattamento dei dati è irrilevante nel determinare se tale trattamento rientri o meno nell’ambito di applicazione del GDPR. Ciò che conta è, invece, che il trattamento dei dati avvenga nel contesto delle attività di uno stabilimento che si trovi in Europa.[8]
Cosa si intende, tuttavia, per “stabilimento”?
La definizione non è contenuta nel testo dell’Art 3, ma il Considerando 22 chiarisce che con il termine “stabilimento” si fa riferimento a qualsiasi attività effettiva e reale esercitata da un titolare o responsabile del trattamento, per mezzo di una stabile organizzazione.[9] L’origine di tale definizione è da rintracciare nella giurisprudenza della Corte di Giustizia Europea: nelle sentenze Weltimmo e Google v Spain, questa aveva delineato che ogni attività effettiva e stabile, seppur di minima entità, assume rilevanza ai fini della determinazione della presenza di uno stabilimento.[10]
In tal modo, rientrano nel concetto di stabilimento non solo gli stabilimenti principali aventi sede legale, ma anche le succursali o le filiali che svolgono attività stabile sul territorio europeo, indipendentemente dal fatto che i dati trattati appartengano a cittadini comunitari o extracomunitari e che il trattamento avvenga all’interno o all’esterno dell’UE.[11] Così, rientra nell’ambito di applicazione del GDPR l’attività di un’impresa automobilistica avente sede legale negli USA, ma una filiale di proprietà con ufficio situato a Bruxelles, avente il compito di supervisionare tutte le operazioni in Europa, comprese quelle di marketing e pubblicità.[12] Alla luce del GDPR, infatti, la filiale belga potrebbe essere considerata una organizzazione stabile che svolge attività reali ed effettive, pertanto uno “stabilimento” soggetto all’applicazione del regolamento.
Allo stesso modo, rientra nell’ambito di applicazione del regolamento il servizio di organizzazione eventi offerto da un’impresa italiana a cittadini residenti in Australia, sebbene il trattamento dei dati di questi venga svolto presso la filiale australiana dell’impresa. Per l’applicazione del GDPR, infatti, è rilevante il solo fatto che il trattamento dei dati avvenga nel contesto delle attività di uno stabilimento che si trovi nell’UE.
Contrariamente, in assenza di uno stabilimento in Europa, sembrerebbe esonerato dall’applicazione del regolamento il servizio online offerto e gestito da una compagnia indiana a cittadini europei. In questo caso, tuttavia, è necessario analizzare il comma 2 dell’Art 3.
Il criterio del target
Il principio emergente dall’Art 3(2), noto come criterio del target o targeting criterion, costituisce l’aspetto più innovativo in materia di applicazione territoriale del GDPR. Esso si focalizza sulla collocazione fisica degli interessati e di tutti i soggetti destinatari del trattamento dei dati, piuttosto che sul luogo in cui si trovano gli strumenti utilizzati nel trattamento stesso.[13] Secondo tale principio, l’assenza di un’attività stabile all’interno dell’Unione non implica necessariamente che il titolare del trattamento sia da considerarsi esonerato dall’ambito di applicazione del regolamento, che può invece dipendere dalle attività rientranti nel trattamento e dai destinatari dello stesso.
Alla luce di questo criterio, nel momento in cui il titolare o responsabile del trattamento non sia stabilito nell’UE, ciò che conta per l’applicazione del GDPR è che il trattamento dei dati abbia come destinatari soggetti che si trovino nell’Unione Europea e che tale trattamento si concretizzi nell’offerta di beni o servizi, indipendentemente dal fatto che via sia un pagamento correlato,[14] o nel monitoraggio del comportamento di soggetti interessati nell’UE.[15] È da notare che l’Art 3(2) fa riferimento a “soggetti interessati” all’interno dell’Unione, non a cittadini o residenti, ampliando di fatto il raggio di applicazione del regolamento oltre i confini europei.
Al fine di interpretare correttamente il testo della legge, il Considerando 23 chiarisce che rientrano nel novero delle attività riguardanti l’offerta di beni o servizi tutte quelle pratiche che rivelano l’intenzione del titolare o del responsabile del trattamento di rivolgersi a soggetti che si trovano in UE. Fattori determinanti per definire tale intenzione sono, per esempio, l’utilizzo nell’attività di offerta di beni e prestazione di servizi di una lingua o di una valuta di utilizzo comune in uno o più Stati membri, così come l’indicazione di uno specifico contatto europeo per quel servizio.[16] La mera offerta di un bene o prestazione di un servizio ad una persona che si trova in Europa non comporta necessariamente l’applicazione del GDPR.[17]
Pertanto, il servizio online di stampa e consegna di album fotografici personalizzabili, offerto e gestito da una compagnia turca, è soggetto alle disposizioni del GDPR nel momento in cui il sito sia disponibile in inglese, francese e tedesco, permetta il pagamento in euro o sterline e garantisca la spedizione nel Regno Unito, Francia e Germania.[18] In questo caso, è infatti palese che il servizio sia rivolto a soggetti che si trovano nell’Unione.
Al contrario, non è soggetta al GDPR una banca giapponese che offra servizi a clienti che risiedono in Giappone, anche se si tratta di dati di persone con cittadinanza europea.
Conclusioni
L’Art 3 amplia notevolmente l’ambito di applicazione territoriale del GDPR. In considerazione del forte impatto che il regolamento può produrre sull’attività di istituzioni e imprese – sia comunitarie che extracomunitarie – l’orientamento apportato dalle Linee Guida dello European Data Protection Board in materia di territorialità e applicazione è fondamentale per l’approfondimento delle implicazioni dell’Art 3, nonché per il chiarimento delle tematiche critiche. Nonostante rimangano ancora alcune questioni irrisolte,[19] l’intervento dell’EDPB ha favorito un’interpretazione chiara, uniforme e solida dell’Art 3, imprescindibile per derogare al principio di sovranità attraverso l’applicazione extra – comunitaria del GDPR.
Note a piè di pagina
[1] Direttiva 95/46/CE
[2] SAETTA B., Direttiva 95/46/CE, Protezione dei dati personali – Data protection, 22 luglio 2018, https://protezionedatipersonali.it/direttive-europee
[3] VOIGT P. e VON DEM BUSSCHE A., Introduction and ‘Checklist’ in: The EU General Data Protection (GDPR), Springer Cham, 2017
[4] VOIGT P. e VON DEM BUSSCHE A., supra note 3
[5] Art 4(1)(a), Direttiva 95/46/CE: “Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali: a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro […]”.
[6] European Data Protection Board, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), 16 novembre 2018, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf
[7] VALERI M., Portata territoriale del GDPR, le linee guida EDPB: ecco i nodi critici, AgendaDigitale, 14 dicembre 2018, https://www.agendadigitale.eu/sicurezza/privacy/portata-territoriale-del-gdpr-le-linee-guida-edpb-ecco-i-nodi-critici/
[8] Latham & Watkins LLP, EDPB Publishes Regulatory Guidance on Territorial Scope of GDPR, 3 gennaio 2019, https://www.lexology.com/library/detail.aspx?g=52e9200d-ed53-4981-b815-4669532f3a16
[9] Considerando 22 all’Art 3 GDPR
[10] Latham & Watkins LLP, supra note 8
[11] Latham & Watkins LLP, supra note 8
[12] European Data Protection Board, sopra note 6
[13] VALERI M., supra note 7
[14] Considerando 23 all’Art 3 GDPR
[15] European Data Protection Board, supra note 6
[16] Latham & Watkins LLP, supra note 8
[17] VALERI M., supra note 7
[18] European Data Protection Board, supra note 6
[19] VALERI M., supra note 7Autore
