Ambasciate e consolati devono uniformarsi al Gdpr: così indicano le Linee guida 3/2018

Sono state definitivamente varate le Linee Guida sull’ambito di applicazione territoriale del GDPR: già il 16 novembre 2018, il Comitato Europeo per la Protezione dei Dati (EDPB) aveva pubblicato il testo che, poi, in considerazione del forte impatto che le Linee Guida possono produrre, è stato sottoposto a consultazione pubblica prima della sua definitiva approvazione.

Una delle indicazioni più rilevanti riguarda proprio le Ambasciate ed i Consolati. Già con il parere 8/2010 (WP179 adottato il 16 dicembre 2010) il WP29 aveva indicato ambasciate, consolati, navi ed aerei tra i luoghi extra-territoriali soggetti alla legge dello Stato, con tutte le dovute conclusioni in tema di protezione dei dati personali. Ora, il Comitato ha espressamente statuito per ambasciate e consolati l’assoggettamento alle norme del GDPR anche se ubicate in fuori dall’Unione Europea: la figura del titolare o del responsabile del trattamento è da individuarsi nel singolo Ambasciatore o Console, il quale sarà quindi soggetto alle più rilevanti previsioni del GDPR incluse le norme relative al trasferimento dei dati verso paesi terzi.

Inoltre, seguendo lo schema dell’articolo 3 del Regolamento, le Linee Guida chiariscono la portata applicativa del criterio di stabilimento (“establishment criterion”) e del criterio settoriale (“targeting criterion”).

In merito alla norma di cui all’articolo 3 (1) Reg., le Linee Guida esplicano la definizione di stabilimento secondo il significato della normativa europea in tema di trattamento dei dati personali e danno indicazioni su cosa si intenda per trattamento di dati personali effettuato “nell'ambito delle attività di uno stabilimento” confermando, in ultimo, che il GDPR si applicherà indipendentemente dal fatto che il trattamento effettuato nel contesto delle attività di questo stabilimento abbia luogo o meno nell'Unione.

In relazione alla norma di cui all’articolo 3 (2) Reg., il Comitato Europeo conferma che il meccanismo di cooperazione di cui all’art. 56 Reg. si applica solamente a chi è stabilito in Unione. Per cui, se è vero che l’applicazione del GDPR dipenda dalle attività di trattamento, il meccanismo di cooperazione è, invece, riservato solamente a chi è stabilito nell’ambito dell’Unione Europea. Il Comitato, inoltre, rammenta che titolari e responsabili soggetti al GDPR in relazione alle attività di trattamento devono, altresì, verificare che il trattamento sia in linea con la disciplina settoriale di carattere nazionale, ciò ovviamente da riferirsi ai settori in cui il Regolamento ha permesso ai singoli Stati di implementare tale normativa (tra i tanti, l’articolo 8 in merito al consenso prestato dal minore, l’articolo 9 in merito al trattamento dei dati particolari, l’articolo 23 in merito alle limitazioni).

In specifico riferimento, poi, al “targeting criterion” il Comitato specifica che tale criterio si applica esclusivamente a titolari e responsabili non stabiliti in UE che effettuano le due [tre] normativamente indicate (offerta di beni o servizi e monitoraggio) nei confronti di soggetti che sono in Unione Europea, dovendo analizzare caso per caso quali attività riguardano (“related to”) le predette attività. Il Comitato ribadisce titolari e responsabili saranno soggetti al GDPR solo per tali attività mentre non lo saranno per altre attività che non riguardano tale “target”. Quindi, per determinare se il comma 2 dell’articolo 3 sia da applicarsi, il Comitato incoraggia un duplice approccio, dovendosi dapprima determinare se e quali [1] soggetti sono nell’Unione (pagine 14-16 delle Linee guida, esempi da 8 a 12) nonché [2] quali attività riguardano l’offerta di beni o servizi ovvero il monitoraggio (pagine 16-20 delle Linee guida, esempi da 13 a 20).

Qualora si applichi 3 (2) Reg., si rammenta la necessità di nomina di un rappresentante (esclusi i casi espressamente citati nello stesso considerando e dall'articolo 27, paragrafo 2). In tal caso, le Linee guida forniscono ulteriori orientamenti sul processo di designazione, sugli obblighi di stabilimento e sulle responsabilità del rappresentante nell'Unione.

Note sull'autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, privacy officer con specifiche competenze in ambito contrattualistico, giuslavoristico e tributario. Socio membro Federprivacy e consulente per associazioni, enti non profit, e operatori del terzo settore. Email: battaglia@dedconsulting.org

Prev Titolare o Responsabile del trattamento? la corretta identificazione rispondendo a 16 quesiti
Next Ransomware, aumentano del 200% i costi causati dagli attacchi nelle pmi

I chiarimenti del Garante sulla Norma UNI 11697:2017

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo