GDPR e rappresentanze diplomatico-consolari straniere, un tema poco discusso che apre dubbi anche al Garante privacy. Si configurano infatti più interpretazioni sull’obbligo di adesione al regolamento europeo (“General Data Protection Regulation”) per le rappresentanze straniere aventi sede in Italia quando trattano dati personali di cittadini extracomunitari che si trovano nel nostro paese.
Si tratta di una questione che solleva non pochi dubbi interpretativi, posto che la risposta al quesito è da ricercarsi all’interno di una previsione di legge, l’art. 3 del GDPR, parzialmente nuova nel quadro normativo europeo.
Il quesito oggetto del presente contributo introduce un tema poco dibattuto ma, di certo, di grande importanza se solo si pensa alla enorme quantità di dati personali che le rappresentanze diplomatico-consolari straniere con sede in Italia trattano ogni giorno nell’esercizio delle loro funzioni. Come noto, tali rappresentanze non solo costituiscono un punto di riferimento per i cittadini extracomunitari che vivono in Italia ma forniscono altresì una moltitudine di servizi utili per la loro corretta integrazione nel nostro paese e per mantenere i rapporti tra lo Stato cui tali cittadini appartengono e l’Italia.
Il tema si pone al centro di un più ampio quadro di dubbi interpretativi che, ad oltre un anno dalla data di prima applicazione del GDPR, aleggiano ancora sul nuovo Regolamento. Tra questi, certamente, rileva l’articolo 3 del GDPR che ha parzialmente rivoluzionato l’ambito di applicazione territoriale della normativa europea in materia protezione dei dati personali.
Applicazione territoriale del GDPR
Come noto, ai sensi dell’art. 3 del GDPR, il Regolamento si applica sia ai titolari (o responsabili) del trattamento stabiliti sul territorio europeo sia – ed è questa la novità – a coloro che non hanno uno stabilimento in uno stato appartenente all’Unione Europea ma che trattano, per certi fini, dati personali che si riferiscono ad interessati che si trovano in Europa.
L’articolo in discorso – che sostituisce integralmente l’art. 4 dell’ormai abrogata direttiva 95/46/CE – rappresenta l’intento del legislatore comunitario di estendere il più possibile l’ambito di applicazione del GDPR, prevedendo che lo stesso assuma valore ogniqualvolta sia rintracciabile un collegamento, anche indiretto, con l’ordinamento giuridico dell’Unione Europea e/o quello dei paesi membri.
Più in particolare, l’art. 3 del GDPR prevede tre diversi criteri da tenere in considerazione per valutare se il GDPR si applica, o meno, ad un trattamento di dati personali:
- il criterio dello stabilimento del titolare (o del responsabile);
- il criterio del luogo in cui si trovano gli interessati;
- il criterio del diritto internazionale.
Secondo quanto previsto dal primo criterio, il GDPR trova applicazione nei confronti di coloro che hanno uno stabilimento all’interno dell’Unione Europea (i.e. una “qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione stabile”, come stabilito dalla nota sentenza “Weltimmo” della Corte di Giustizia UE), indipendentemente dal luogo o dalla nazionalità dell’interessato i cui dati personali sono trattati. Tale approccio trova conferma nel Considerando 14 al GDPR, secondo cui “è opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali”.
GDPR, il caso del car-sharing
Si pensi, nella pratica, ad una società italiana, con sede legale a Milano, che tratta i dati personali dei propri dipendenti e dei propri clienti, molti dei quali anche extracomunitari; o, ancora, ad una società francese che abbia sviluppato un’applicazione di car-sharing rivolta esclusivamente a utenti del Marocco. In questi casi il GDPR deve essere applicato poiché, a prescindere dal luogo in cui i dati personali sono stati raccolti dal titolare – nell’UE o in un paese terzo – il trattamento è svolto nell’ambito delle attività di uno stabilimento del titolare sito nell’Unione Europea (ossia, nell’esempio citato, in Italia).
Applicando il secondo criterio, invece, il GDPR trova applicazione nei confronti di coloro che trattano dati personali senza essere stabiliti nell’UE, laddove tale trattamento (i) abbia ad oggetto dati personali di persone fisiche che si trovano all’interno dell’UE e (ii) sia finalizzato ad offrire beni / prestare servizi a tali persone fisiche o a monitorare il loro comportamento all’interno dell’UE.
Si pensi, ad esempio, ad una società di diritto americano, con sede legale a New York, che abbia sviluppato un’applicazione per la ricerca di ristoranti e hotel in tutto il mondo, compresa l’Europa, e che tratti i dati degli utenti (i.e. cittadini europei e non) dell’applicazione per fornire indicazioni sul ristorante o l’hotel più vicino alla loro posizione. È chiaro che se, come detto, il trattamento dei dati avviene per fornire agli interessati uno specifico servizio, oggetto dell’applicazione, e tali interessati si trovano in Europa, la società americana – sebbene soggetta al diritto degli Stati Uniti – sarà tenuta al rispetto del GDPR relativamente al trattamento dei dati degli utenti europei.
Infine, ai sensi del terzo ed ultimo criterio, il GDPR trova applicazione nei confronti di coloro che non hanno uno stabilimento nell’UE ma in un luogo soggetto al diritto di uno stato membro dell’Unione in forza del diritto internazionale pubblico.
È il caso tipico del trattamento di dati personali effettuato dal consolato italiano avente sede in uno stato estero (ad es., negli Stati Uniti) o, ancora, di quello effettuato dall’ambasciata francese presente in Argentina. Tali rappresentanze consolari, seppur situate al di fuori dall’UE, sono tenute al rispetto, in forza delle norme di diritto internazionale, rispettivamente del diritto italiano e di quello francese e, pertanto, sono soggette GDPR.
Trattamento dati all’interno dei consolati
Definiti i criteri previsti dal GDPR per individuarne l’ambito di applicazione territoriale, ci si domanda quindi se i trattamenti di dati personali effettuati dalle rappresentanze diplomatico-consolari straniere situate nel nostro paese rientrino (o meno) nell’ambito di applicazione del GDPR.
Procedendo con ordine, proviamo ad applicare al caso in esame ciascuno dei criteri sopra indicati.
Criterio dello stabilimento del titolare. La presenza di una sede diplomatico-consolare in territorio italiano può considerarsi quale “stabilimento” ai sensi del GDPR?
Da un punto di vista strettamente giuridico, applicando le norme di diritto internazionale, la risposta al quesito dovrebbe essere di segno negativo. Tutte le rappresentanze diplomatico-consolari, di qualsiasi paese, operano infatti esclusivamente nel rispetto della legge dello stato che esse rappresentano e costituiscono una sorta di “longa manus” dello stato di appartenenza. Ai sensi della Convenzione di Vienna del 1963 (art. 31) sulle relazioni consolari, inoltre, i luoghi all’interno dei quali le rappresentanze svolgono le proprie funzioni sono “luoghi inviolabili”, come tali soggetti interamente al diritto dello stato straniero cui la rappresentanza appartiene.
Argomentando in questo senso, il criterio dello stabilimento del titolare del trattamento non potrebbe essere applicato al caso in esame e, quindi, non consentirebbe di affermare che le rappresentanze diplomatico-consolari straniere in Italia sono tenute al rispetto del GDPR.
Cosa indica il codice di diritto internazionale
Tuttavia, occorre constatare che un’interpretazione basata unicamente sulle norme di diritto internazionale non può ritenersi del tutto corretta. E infatti, su questo punto, non può essere trascurato quanto indicato dalle Linee Guida relative all’ambito di applicazione territoriale del Regolamento predisposte dal Comitato europeo per la protezione dei dati personali (European Data Protection Board – “EDPB”, già Gruppo di lavoro ex art. 29 della Direttiva 95/46), le quali hanno ribadito il principio secondo cui, al fine di valutare l’applicazione territoriale del GDPR, occorre discostarsi da meri approcci formalistici basati sulla lettera della legge.
In altri termini, secondo l’EDPB, non è possibile ritenere che un titolare del trattamento sia stabilito unicamente nel luogo in cui esso ha la propria sede principale o, laddove sia una persona giuridica, dove essa è stata registrata.
Ciò, infatti, non solo comprometterebbe l’obiettivo del legislatore comunitario di estendere il più possibile, ove lecito, l’ambito di applicazione del GDPR bensì renderebbe altresì vana l’interpretazione della nozione di “stabilimento” fornita dalla giurisprudenza della Corte di Giustizia UE (cfr. sentenza “Google Spain”) secondo cui al fine di valutare se un titolare del trattamento sia stabilito o meno all’interno dell’UE occorre analizzare la presenza di una stabile organizzazione nell’UE e l’esercizio effettivo delle attività di trattamento di dati personali nell’ambito di tale organizzazione.
Nel caso di specie, occorre dunque “bypassare” il fatto che la rappresentanza diplomatico-consolare straniera in Italia (ad esempio, il consolato americano o l’ambasciata australiana) sia, in forza del diritto internazionale pubblico, un “luogo estraneo” al territorio dell’Unione Europea e concentrarsi, piuttosto, sul fatto che tale rappresentanza esercita un’attività reale ed effettiva in Italia tramite una stabile organizzazione di mezzi e servizi.
GDPR e luogo di stabilimento del titolare
Ad avviso di chi scrive, è quindi possibile sostenere che, secondo i comuni principi interpretativi del Regolamento forniti dall’EDPB e dalla Corte di Giustizia, le rappresentanze diplomatico-consolari straniere presenti in Italia abbiano un effettivo “stabilimento” all’interno del nostro paese e, pertanto, siano tenute al rispetto del GDPR in forza del criterio del luogo di stabilimento del titolare.
Il criterio del luogo in cui si trovano gli interessati. Anche volendo applicare esclusivamente il diritto internazionale e sposare, quindi, la tesi secondo cui le rappresentanze diplomatico-consolari estere in Italia non possono considerarsi stabilite all’interno dell’Unione Europea – bensì esclusivamente negli stati cui le stesse appartengono -, il GDPR sembra comunque potersi applicare ai trattamenti di dati personali effettuati da tali rappresentanze.
E infatti, come detto, da un lato, le attività di trattamento poste in essere da tali istituzioni hanno ad oggetto dati personali di interessati che si trovano all’interno dell’Unione Europea (nel caso di specie, in Italia) e, dall’altro, i trattamenti sono effettuati al fine di prestare ai suddetti interessati specifici servizi all’interno dell’Unione Europea. Appaiono quindi pienamente soddisfatte le condizioni previste dall’art. 3, comma secondo, lettera a) del GDPR.
Ambasciate, il parere del Garante Privacy
L’interpretazione sopra esposta sembra essere confermata anche dal Garante per la protezione dei dati italiano. Nel corso di uno scambio di informazioni in via non ufficiale, infatti, tale autorità ha risposto al quesito oggetto del presente contributo suggerendo di fare integrale riferimento al testo dell’art. 3, comma secondo del GDPR (oltre che ai considerando 23 e 24 al Regolamento) al fine di individuare l’ambito di applicazione territoriale del GDPR. Si tratta, evidentemente, di una risposta interlocutoria che non fornisce una risposta precisa al quesito ma che, piuttosto, apre a dubbi interpretativi.
Ad ogni modo, al fine di individuare se il GDPR si applica al trattamento dei dati personali effettuato dalle rappresentanze diplomatico-consolari estere con sede in Italia, è assolutamente essenziale tenere in considerazione il fatto che, da un lato, gli interessati (rectius, i cittadini extracomunitari) si trovano all’interno dell’UE al momento del trattamento dei loro dati e che, dall’altro, tale trattamento è effettuato per fornire loro specifici servizi.
Ciò, “a prescindere dalla nazionalità o dal luogo di residenza degli interessati” (cfr. sul punto considerando 14 al GDPR), posto che, come previsto dalle Linee Guida dell’EDPB già menzionate, la nazionalità o lo status giuridico di un interessato non può limitare o restringere l’ambito di applicazione territoriale del GDPR.
Dati Usa o dati Ue? Il dilemma della app
Un esempio può aiutare a comprendere ancora meglio quanto in discorso. Si pensi ad un cittadino americano in viaggio per l’Europa durante le proprie vacanze il quale, mentre si trova in Europa, scarica e utilizza un’applicazione di notizie sviluppata da e di proprietà di una società statunitense che raccoglie i suoi dati personali in qualità di titolare del trattamento.
Se l’applicazione in oggetto fosse rivolta esclusivamente al mercato statunitense e, quindi, fosse diretta a fornire servizi a utenti di nazionalità statunitense che si trovano negli Stati Uniti, il trattamento dei dati del turista americano in viaggio per l’Europa per il tramite dell’applicazione non sarebbe soggetto al GDPR in quanto, sebbene l’interessato si trovi nell’UE, l’offerta di servizi non sarebbe rivolta al mercato comunitario.
Diverso invece sarebbe se l’applicazione fosse stata sviluppata dalla società americana per fornire servizi non solo negli Stati Uniti ma in tutto il mondo, inclusa l’Europa: in questo caso, il trattamento dei dati del turista statunitense rientrerebbe nel campo di applicazione territoriale del GDPR in quanto effettuato (i) per fornire servizi all’interno dell’UE e, nello specifico, (ii) a un turista che si trova in Europa.
Allo stesso modo può dirsi relativamente alle rappresentanze diplomatico-consolari estere presenti in Italia. Anche laddove si ritenga che le stesse sono stabilite in uno stato estero (in un “luogo inviolabile”, estraneo al territorio dell’Unione) e quindi si escluda l’applicazione del primo criterio dell’art. 3 del GDPR, non può essere ignorato il fatto che queste ultime effettuano il trattamento di dati personali di interessati che si trovano nell’UE al fine di fornire a tali interessati servizi strettamente connessi alla loro presenza in territorio europeo.
Il criterio del diritto internazionale
Pertanto, alla luce di tali considerazioni, è quindi possibile sostenere che le rappresentanze diplomatico-consolari straniere presenti in Italia rientrino nell’ambito di applicazione territoriale del GDPR ai sensi dell’art. 3, comma secondo, lett. a) del GDPR.
Il criterio del diritto internazionale. È invece possibile escludere l’applicazione del criterio del diritto internazionale pubblico al caso in esame. Tale criterio infatti si applica esclusivamente alle rappresentanze diplomatico-consolari degli stati europei con sede in territorio extracomunitario.
Così, ad esempio, se il consolato olandese in Giamaica decidesse di trattare dati personali di candidati all’assunzione tramite una procedura di candidatura online esso sarebbe tenuto al rispetto del GDPR in quanto si tratta di una rappresentanza consolare di un paese dell’UE tenuta al rispetto della legislazione di uno Stato membro (l’Olanda) in virtù del diritto pubblico internazionale.
La strada indicata dalle linee guida EDPB
Alla luce di quanto detto nei paragrafi precedenti, emerge chiaramente l‘importanza non solo della conoscenza delle previsioni del GDPR bensì anche della loro corretta interpretazione.
Ciò è evidenziato dal fatto che solo la comprensione di quanto individuato dalle più volte citate Linee Guida dell’EDPB e di quanto stabilito dalla giurisprudenza della Corte di Giustizia UE ha permesso di fornire una risposta ragionata e motivata al quesito in esame. E, in particolare, di argomentare positivamente in merito all’applicazione territoriale del GDPR nei confronti dei trattamenti di dati personali effettuati dalle rappresentanze diplomatico-consolari straniere in Italia.
L’obiettivo, quindi, deve essere ancora una volta quello di adoperarsi per diffondere in Italia e in Europa una corretta cultura non solo del GDPR bensì anche delle interpretazioni autentiche che di tale normativa sono fornite da importanti istituzioni europee, tra cui la Corte di giustizia e l’EDPB.
Ciò, soprattutto, al fine di consentire a tutti gli operatori del settore, soprattutto se aventi una relazione con paesi extracomunitari, di comprendere in quali circostanze le attività di trattamento di dati personali effettuate siano soggetto alle previsioni del GDPR.
