La pubblicazione delle attese Linee Guida 3/2018 del Comitato Europeo per la Protezione dei Dati (EDPB) sulla portata territoriale del GDPR (articolo 3) riveste un’importanza particolare data l’assoluta necessità di definire e perimetrare il campo di applicabilità del Regolamento, e appare funzionale all’esigenza di mettere alcuni punti fermi sulla questione.
Restano, tuttavia, ancora delle questioni irrisolte, per le quali la comprensione della posizione del Regolatore sarebbe estremamente utile.
Le linee guida Edpb sulla portata territoriale del Gdpr
Le Linee Guida di 23 pagine, che sono aperte alla consultazione pubblica fino al 18 gennaio 2019, mirano ad aiutare i titolari e i responsabili stabiliti o meno nell’Unione europea a determinare se le loro attività di trattamento rientrino oppure no nell’ambito di applicazione del GDPR e garantiscono un approccio coerente all’applicazione del Regolamento. La pubblicazione in draft segna una pietra miliare ed un riferimento importante nella comprensione delle implicazioni di un aspetto, come l’applicazione delle norme su scala extra-territoriale, decisamente rilevante e pieno di implicazioni.
Proprio l’introduzione di più ampi confini territoriali di applicabilità della legge è stato infatti uno degli elementi caratterizzanti del nuovo regolamento ma, parallelamente, ha anche portato in dote una serie di questioni cui è spesso difficile rispondere.
Il documento prodotto dall’EDPB è dettagliato e al tempo stesso utile e orientato al buon senso.
In primo luogo, seguendo un principio già esistente ai sensi della direttiva sulla protezione dei dati del 1995, le Linee Guida confermano che il GDPR si applica al trattamento di dati personali nel contesto di attività svolte da un titolare o da un responsabile in uno stabilimento situato nell’Unione Europea.
Ciò a conferma dell’articolo 3(1) del GDPR, secondo il quale “il regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.
Tale articolo pone le basi del cosiddetto establishment criterion, che da un lato fornisce la definizione di “stabilimento” ai sensi della legislazione dell’UE sulla protezione dei dati, dall’altro chiarisce cosa si intenda per “elaborazione nel contesto delle attività di uno stabilimento nell’Unione“, e infine conferma che il GDPR si applica indipendentemente dal fatto che il trattamento effettuato nel contesto delle attività di questo stabilimento abbia luogo nell’Unione oppure no.
Pertanto, l’EDPB si è basato sulla giurisprudenza già esistente per consolidare e rafforzare il proprio parere sulla validità di questo criterio cardine. Non ha modificato l’interpretazione del criterio, e si è limitato a seguire la dottrina stabilita in varie sentenze pionieristiche da parte della Corte di Giustizia dell’Unione Europea.
Un triplice approccio
L’EDPB raccomanda un triplice approccio nel determinare se il trattamento dei dati personali rientri o meno nell’ambito di applicazione del GDPR ai sensi dell’articolo 3, paragrafo 1, come illustrato di seguito:
Questa formulazione richiama quella contenuta nel considerando 19 della direttiva 95/46/CE.
Dunque, il concetto di “stabilimento” si estende a qualsiasi attività effettiva e reale esercitata da un titolare o responsabile del trattamento, per mezzo di una stabile organizzazione.
Due esempi concreti
Ad esempio, l’EDPB considera lo scenario di un’azienda produttrice di auto con sede negli Stati Uniti e una filiale di proprietà con ufficio situato a Bruxelles, avente il compito di supervisionare tutte le operazioni in Europa, compresi il marketing e la pubblicità. L’EDPB indica che la filiale belga potrebbe essere considerata una “organizzazione stabile”, in virtù della quale vengono esercitate “attività reali ed effettive “alla luce della natura economica dell’attività svolta dall’azienda manifatturiera automobilistica. Quindi la filiale belga può essere considerata a tutti gli effetti quale uno “stabilimento” dell’UE, ai sensi del significato fornito dal GDPR.
Una volta concluso che un titolare o responsabile sia effettivamente stabilito nell’UE, l’EDPB indica che a ciò dovrebbe seguire un’analisi volta a determinare se il trattamento di dati personali sia effettuato “nel contesto delle attività di tale stabilimento”.
A questo proposito, raccomanda di considerare:
- la relazione fra titolare o responsabile del trattamento non europei da una parte, e lo stabilimento di una filiale europea dall’altra, allo scopo di verificare se esista “un legame inestricabile” tra le attività dello stabilimento dell’UE ed il trattamento effettuato dal titolare/responsabile fuori dal territorio europeo. In una simile fattispecie, l’EDPB chiarisce che il GDPR va applicato;
- se si sta verificando un “revenue raising” da parte di uno stabilimento UE, e se tali attività possono essere considerate “inestricabilmente collegate” al trattamento dei dati personali che si svolgono al di fuori dell’UE, il che può costituire motivo sufficiente per l’applicazione del GDPR.
In sostanza, se si verificasse il caso in cui le attività di un’azienda sita in uno degli Stati membri dell’UE e le attività di trattamento dei dati svolte da un titolare o da un responsabile residenti al di fuori dell’UE fossero indissolubilmente connesse fra loro, ciò costituirebbe un motivo sufficiente per innescare l’applicabilità del diritto dell’Unione Europea, anche se lo stabilimento locale/europeo non entrasse nel merito dell’elaborazione dei dati.
L’EDPB fornisce l’esempio di un sito di e-commerce gestito da un’azienda con sede in Cina. Se da un lato le attività di trattamento vengono svolte esclusivamente in Cina, dall’altro l’azienda dispone di un ufficio europeo con sede a Berlino che conduce campagne di marketing dirette verso i mercati europei. L’EDPB afferma quindi che, in tale scenario, le attività dell’ufficio di Berlino sono “inestricabilmente collegate” all’elaborazione di dati personali del sito web di e-commerce cinese, nella misura in cui la campagna di marketing verso l’UE renda redditizio il servizio offerto dal sito web. Il trattamento dei dati personali da parte del sito web cinese può quindi essere considerato come effettuato nel contesto delle attività dell’ufficio di Berlino, e soggetto pertanto al GDPR.
D’altro canto, è altresì vero che il concetto di esistenza di uno stabilimento ai sensi del GDPR non dovrebbe essere utilizzato in modo tanto estensivo, da portare a concludere che, da sé, la sola esistenza di un insediamento in Europa da parte di una società, legata tuttavia solo in modo marginale ad aziende non europee, in virtù di attività di trattamento dei dati svolti da quest’ultime, costituisca un motivo sufficiente a ritenere che tali trattamenti rientrino nell’ambito della legislazione sulla protezione dei dati dell’UE.
Alcune attività commerciali compiute da società non europee all’interno di uno Stato membro dell’UE possono essere così lontane dal trattamento dei dati personali, che l’esistenza di un’attività commerciale in Europa può non essere sufficiente ad inquadrare tale trattamento di dati nell’ambito della legislazione sulla protezione dei dati dell’UE.
Cosa innesca l’applicazione del Gdpr
L’EDPB conferma poi che il posto in cui ha luogo il trattamento è irrilevante nel determinare se il trattamento rientra nell’ambito di applicazione del GDPR. Piuttosto, è la presenza in Europa, per mezzo di uno stabilimento, di un titolare o responsabile unita al fatto che il trattamento avvenga nel contesto delle attività di quello stabilimento ad innescare l’applicazione del GDPR.
In ogni caso, la sola esistenza di una relazione biunivoca fra titolare e responsabile del trattamento di dati personali non implica necessariamente l’applicazione del GDPR per entrambi, qualora uno di questi due soggetti non fosse stabilito in Europa.
Ancora una volta, l’EDPB raccomanda alle organizzazioni non europee di effettuare una valutazione dei propri trattamenti, identificando collegamenti potenziali fra l’attività per cui i dati personali sono sottoposti ad un trattamento e le attività di qualsiasi stabilimento dell’organizzazione presente nell’Unione. Se tale collegamento può essere identificato, sarà la natura di questo legame a determinare se il GDPR si applichi o meno al trattamento in questione.
Fin qui, nel confermare la validità di quello che le Linee Guida chiamano “establishment criterion”, esse non aggiungono niente di nuovo, ma semplicemente ne rafforzano il concetto già esistente nell’ambito della precedente interpretazione del quadro giuridico.
Gli aspetti innovativi: il “targeting criterion”
È invece relativamente al nuovo “targeting criterion” che l’input dell’EDPB risulta essere particolarmente incisivo. L’idea di determinare l’applicabilità del GDPR facendo riferimento a dove fisicamente si trovano le persone piuttosto che a dove si trovi l’apparecchiatura utilizzata nel trattamento può sembrare perfettamente logica, eppure costituisce un approccio del tutto nuovo nell’ambito europeo della protezione dei dati. In generale, un qualsiasi indirizzo volto a mettere in pratica questo approccio non può che essere accolto favorevolmente. All’interno delle Linee Guida in esame, l’EDPB ha previsto e appoggiato questo approccio ed è facile ipotizzare che tale posizione sarà ben accolta anche dalle organizzazioni straniere.
L’articolo 3, paragrafo 2, stabilisce le circostanze in cui il GDPR si applica ad un titolare o responsabile non stabilito nell’UE. In particolare, prevede che “il regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.
Dunque, nel valutare l’applicazione del “targeting criterion”, l’EDPB raccomanda un duplice approccio, come illustrato di seguito.
Di seguito, se ne riportano alcuni:
- Un’azienda che abbia dei dipendenti europei non è necessariamente soggetta al GDPR. La formulazione dell’articolo 3(2) si riferisce ai “dati personali degli interessati che si trovano nell’Unione“. L’applicazione del “targeting criterion” non è quindi limitata dalla cittadinanza o dal luogo di residenza dell’interessato i cui dati personali sono in corso di trattamento. L’EDPB chiarisce infatti che il testo dell’articolo 3 (1) non limita l’applicazione del GDPR al trattamento di dati personali degli individui che si trovano nell’UE. Pertanto, anche la posizione o la nazionalità del soggetto interessato cui si riferiscono i dati personali trattati è irrilevante. Questo approccio è sostenuto dal considerando 14 del GDPR (“È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali”.) Dunque, se una società stabilita in Europa elabora dati relativi ad interessati sia europei che non, al fine di offrire un servizio, è probabile che un’autorità di vigilanza sostenga che tutti i dati (di cittadini europei e non) siano soggetti alla normativa GDPR. In altre parole, se un’autorità di vigilanza ritenesse che una società non europea ricada nel perimetro della normativa, in virtù di uno stabilimento in Europa all’interno del quale effettua dei trattamenti di dati personali, allora qualsiasi trattamento potrebbe rientrare nell’ambito di applicazione del GDPR, a prescindere dall’ubicazione o dalla nazionalità dell’interessato, i cui dati personali sono oggetto di trattamento. Il considerando 14, già richiamato, conferma tale interpretazione. Non è la nazionalità dell’interessato a rilevare quale elemento sufficiente a indirizzare l’applicabilità del GDPR, quanto piuttosto l’effettivo trattamento di dati personali svolto all’interno di uno stabilimento sito sul territorio europeo. Ora, sebbene il Regolamento non offra una definizione precisa di ciò che si intenda esattamente per stabilimento, giova appena far notare che il fatto stesso di avere uno stabilimento implica l’esercizio effettivo e reale di un’attività mediante un’organizzazione stabile. In accordo con quanto detto, il Comitato Europeo per la Protezione dei Dati ha espressamente respinto la tesi per la quale una società che impiega cittadini europei dovrebbe essere considerata necessariamente come soggetto promotore di offerte di beni e servizi agli europei. Ancora una volta, emerge come l’elemento dirimente non sia la nazionalità dell’interessato, quanto piuttosto l’attività in virtù della quale si effettuano trattamenti di dati personali sul territorio europeo. Secondo l’EDPB, un trattamento di dati deve riferirsi all’offerta di beni e servizi a soggetti interessati nell’Unione o al monitoraggio del loro comportamento, altrimenti il trattamento non può essere soggetto alle disposizioni del GDPR.
- Se il punto precedente afferma che il GDPR è riferito a trattamenti di dati di soggetti interessati che si trovano nell’UE, va altresì detto che il trattamento dei dati personali di individui che si trovano nell’UE non è di per sé sufficiente per attivare l’applicazione del GDPR alle attività di trattamento poste in essere da un titolare o da un responsabile che non siano stabiliti nell’Unione. Certamente, il fatto di mirare ad un target di persone residenti in Europa, ad esempio offrendo loro beni o servizi oppure monitorandone i comportamenti, è un elemento imprescindibile per poter ipotizzare un campo di applicabilità del GDPR, ma non è sufficiente. È piuttosto la condotta tenuta dal titolare o dal responsabile del trattamento che rileva quale elemento sufficiente per dimostrare l’intenzione di offrire beni o servizi a persone situate in Europa. Una tale condotta, per esempio, potrebbe ravvisarsi nel caso in cui si diriga un’attività sul mercato europeo, come del resto già previsto dalle decisioni della CGUE in materia di giurisdizione commerciale; la CGUE ha infatti affermato che si potrebbe ritenere un professionista nella situazione di “dirigere” la sua attività verso lo Stato membro di residenza del consumatore, solo laddove egli abbia manifestato la sua intenzione di stabilire delle relazioni commerciali con tali consumatori. Ciò significa, ad esempio, che la semplice accessibilità di un sito Web del titolare o di un responsabile del trattamento non europeo non fornisce di per sé un elemento sufficiente a dimostrare un’intenzione del titolare o responsabile non europeo di offrire beni o servizi alle persone interessate. Questa interpretazione è pienamente in linea con quanto già previsto nel considerando 23 (“Per determinare se tale titolare o responsabile del trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta che il titolare o il responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione. Mentre la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell’Unione”)
- L’idea del monitoraggio implica che un titolare abbia in mente uno scopo specifico per la raccolta e il successivo riutilizzo dei dati relativi al comportamento di una persona situata in Europa. Ragionevolmente, l’EDPB non ritiene che qualsiasi raccolta o analisi di dati personali di individui europei possa essere automaticamente equiparato ad un “monitoraggio”. Sarà necessario considerare la finalità che il titolare intende perseguire nel trattamento dei dati e, in particolare, la sussistenza di qualsiasi eventuale successiva analisi comportamentale o di tecniche di profilazione a partire da tali dati; La natura dell’attività di elaborazione che può essere considerata quale monitoraggio comportamentale è ulteriormente specificata nel considerando 24 (“Per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”).Tuttavia, mentre il Considerando 24 si riferisce esclusivamente al monitoraggio di un comportamento attraverso la tracciatura di una persona su Internet, l’EDPB ritiene che il monitoraggio possa avvenire attraverso altri tipi di reti o tecnologie che coinvolgono trattamenti di dati personali, ad esempio attraverso dispositivi indossabili e altri dispositivi intelligenti, oppure attraverso pubblicità comportamentale, attività di geolocalizzazione, in particolare a fini di marketing, uso di cookie o altre tecniche di tracciamento come il fingerprinting, servizi di analisi della salute e della dieta personalizzati online, CCTV, nonché indagini di mercato e altri studi comportamentali basati su profili individuali;
- Se un’azienda fornisse un prodotto o un servizio ad una persona in Europa non sarebbe necessariamente soggetta al GDPR. Il Comitato Europeo per la Protezione dei Dati ha sottolineato che fornire beni o servizi alle persone che si trovano in Europa non è un elemento sufficiente per attivare il GDPR. Al fine di determinare se una società abbia la reale intenzione di offrire beni o servizi in Europa, l’EDPB suggerisce che le autorità di vigilanza considerino il seguente elenco non esaustivo di fattori quali ad esempio:
- La società ha pagato un motore di ricerca per facilitare l’accesso al suo sito da parte dei consumatori nell’Unione?
- La società ha lanciato campagne pubblicitarie e di marketing rivolte a un pubblico UE?
- I beni o i servizi della società hanno una natura intrinsecamente internazionale (ad esempio, la vendita di attività turistiche)?
Dunque, sulla base delle indicazioni fornite dall’EDPB, se un’azienda americana commercializzasse un’applicazione solo per cittadini americani, ma un americano utilizzasse l’applicazione mentre è in vacanza in Europa, la società non sarebbe soggetta al GDPR, perché la società non intendeva originariamente rivolgersi agli europei.
Punti aperti rimanenti
Ad un primo esame, le Linee Guida sembrano essere in grado di chiarire parecchie tematiche critiche e spinose. Una loro attenta lettura sarebbe dunque sicuramente proficua in particolare per chi intrattiene rapporti commerciali o di fornitura con imprese operanti in stabilimenti al di fuori del territorio europeo che trattino dati personali fuori dall’Unione.
Lo stesso può dirsi per i rappresentanti europei di titolari e responsabili del trattamento di dati personali non stabiliti nell’Unione o di operatori ed imprese operanti in Europa ma che offrono servizi o forniture ad interessati fuori dal territorio europeo.
A dispetto della portata chiarificatrice del documento, va sottolineato come restino ancora delle questioni irrisolte, per le quali la comprensione della posizione del Regolatore sarebbe estremamente utile.
Ad esempio, si pensi alla fattispecie in cui un titolare non europeo si avvalesse di un responsabile situato in Europa. L’EDPB sottolinea correttamente che il responsabile sarà ancora tenuto a rispettare gli obblighi del titolare, in ottemperanza al GDPR. Ciò che manca è in che misura il responsabile deve affrontare – e come – gli obblighi in relazione ai trasferimenti internazionali di dati, quando questi sono messi a disposizione del titolare al di fuori dell’UE.
Ma forse la lacuna più grande di queste Linee Guida è il fatto che non si esprimono in merito all’applicabilità del GDPR nei confronti di responsabili del trattamento non europei, in virtù del “targeting criterion”. Questa è una domanda che continua a sfidare la logica del GDPR dato che, per la stessa natura del loro ruolo, i responsabili dei trattamenti non interagiscono direttamente con gli interessati né mirano ad un target preciso di individui interessati, se non per conto dei titolari.
Una possibile interpretazione della legge a tale riguardo è che il GDPR si applica ad un responsabile non europeo le cui attività di trattamento comportino, da parte del titolare, il targeting di soggetti basati in Europa. Ma questa interpretazione di massima deve ancora essere confermata dalle autorità di regolamentazione.
Un ultimo problema che potrebbe essere sollevato è l’affermazione dell’EDPB secondo cui la funzione del rappresentante (con sede in Europa) di un titolare o responsabile non europeo non sia compatibile con il ruolo di responsabile esterno della protezione dei dati. L’EDPB afferma che l’esigenza di un sufficiente grado di autonomia e indipendenza che la figura del DPO deve garantire non è compatibile con la funzione di rappresentante nell’UE.
Eppure, tenendo conto del fatto che molte delle funzioni pratiche del rappresentante, come l’interazione con le autorità di regolamentazione e con gli interessati, collimano con le attività su cui il DPO tipicamente deve concentrarsi, sembra strano escludere la possibilità che le due figure possano essere ricoperte dalla stessa persona.
Conclusioni
In conclusione, l’orientamento apportato dalle Linee Guida dell’EDPB in materia di territorialità e applicazione è spiegato chiaramente all’interno di un documento che appare sicuramente ben costruito ed utile.
Il testo approfondisce le tantissime variabili e implicazioni dell’articolo 3 del GDPR, che vincola le imprese con sede in altri continenti al rispetto della normativa europea.
Ad esempio, se fosse aperto in Europa l’ufficio di un sito di e-commerce per promuovere le proprie attività commerciali, esso potrebbe essere considerato al pari di uno stabilimento europeo, in virtù delle suddette guidelines.
Analogamente, anche una società non europea, produttrice di applicazioni per servizi di geolocalizzazione indirizzati ad utenti europei per offrire loro pubblicità mirata su luoghi da visitare sarebbe tenuta ad adeguarsi alla normativa europea. Al contrario, non è soggetta al GDPR una banca di Taiwan che offra servizi a clienti che risiedono in quel Paese, anche se si tratta di dati di persone con cittadinanza tedesca o di un’altra nazione dell’UE.
In considerazione del forte impatto che le Linee Guida possono produrre sull’attività di istituzioni e imprese – sia europee, sia straniere – con potenziali pesanti sanzioni per chi non rispettasse la normativa UE, l’EDPB, in questa prima fase, ha saggiamente sottoposto il testo a consultazione pubblica prima della sua definitiva approvazione, prevista per il 18 gennaio 2019, il che lascia peraltro pensare circa il fatto che l’EDPB stia lasciando la porta aperta ad eventuali perfezionamenti successivi nell’ambito di una tematica destinata a diventare un punto fermo della normativa.