NEWS

L’obbligo di nomina del rappresentante in Europa e nel mondo previsto dal GDPR

L'obbligo di nominare un rappresentante dei titolari o dei responsabili del trattamento non stabiliti nell'Unione Europea (UE) è disciplinato dall'articolo 27 del Regolamento (UE) 2016/679 (GDPR) e si applica a tutte le organizzazioni non stabilite nell'UE che trattano dati personali degli interessati che si trovano nell'UE, a condizione che il trattamento sia relativo:

L'obbligo di nominare un rappresentante dei titolari o dei responsabili del trattamento non stabiliti nell'UE è disciplinato dall'articolo 27 del GDPR

- all'offerta di beni o servizi a tali soggetti, indipendentemente dal fatto che sia richiesto un pagamento da parte degli stessi;
- al monitoraggio del comportamento degli interessati nella misura in cui tale comportamento ha luogo all'interno dell'UE.

Tale obbligo è escluso in caso in cui:

- Il trattamento è occasionale, non include su larga scala categorie particolari di dati personali (come i dati relativi alla salute, all'origine razziale o etnica, alle opinioni politiche, ecc.) e non comporta un rischio elevato per i diritti e le libertà delle persone fisiche, considerando la natura, il contesto, l'ambito e le finalità del trattamento;
- Il titolare del trattamento è un'autorità pubblica o un organismo pubblico.

Requisiti del Rappresentante - Il rappresentante deve essere stabilito in uno degli Stati membri dell'UE in cui si trovano gli interessati i cui dati personali sono trattati in relazione all'offerta di beni o servizi o al monitoraggio del comportamento. Il rappresentante può essere una persona fisica o giuridica e deve essere formalmente designato mediante un atto scritto del titolare o del responsabile del trattamento.

Funzioni e Responsabilità - Il rappresentante ha il compito di fungere da punto di contatto per:

- le Autorità di Controllo nazionali per quanto riguarda le attività di trattamento al fine di garantire la conformità al GDPR;
- gli interessati, per facilitare l'esercizio dei loro diritti ai sensi del GDPR.

Inoltre, deve conservare il registro delle attività di trattamento delle organizzazioni non stabilite nell'UE e, in caso di violazioni dei dati personali (data breach), supportarle nella redazione della notifica alle Autorità di Controllo dell’UE.

La nomina di un rappresentante non pregiudica la responsabilità o gli obblighi del titolare o responsabile del trattamento ai sensi del GDPR. Il rappresentante può essere ritenuto responsabile in caso di inosservanza dei propri obblighi, ma ciò non esonera il titolare o il responsabile dalle loro responsabilità.

Massimo Castelli, Giurista esperto in Data Protection e Compliance, è Delegato Federprivacy nella Repubblica di San Marino

(Nella foto: Massimo Castelli, Giurista esperto in Data Protection e Compliance, è Delegato Federprivacy nella Repubblica di San Marino)

Procedura di Nomina - La procedura per la nomina del rappresentante deve essere formale e chiaramente documentata. Il contratto o l'accordo di nomina deve specificare i compiti del rappresentante e le modalità con cui essi saranno svolti.

Implicazioni Sanzionatorie - Il mancato adempimento dell'obbligo di nominare un rappresentante nell'UE quando richiesto, può comportare sanzioni significative sia per le organizzazioni non stabilite nell'UE, sia per i titolari o responsabili del trattamento europei che non abbiano vigilato sulla nomina del rappresentante UE dei propri clienti o fornitori non stabiliti nell'UE. Le Autorità di Controllo possono imporre multe amministrative che possono raggiungere fino a 10 milioni di euro o il 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

A tal proposito si ricordano:

- Sanzione diretta per mancata nomina del rappresentante nell’UE alla società extra-UE: caso Locatefamily.com
- Sanzione indiretta per mancata nomina del rappresentante nell’UE alla società UE: caso Ediscom S.p.A.

Ambito Internazionale - In ambito internazionale, le nazioni che richiedono alle organizzazioni estere di nominare un rappresentante nel loro territorio, oltre all’UE, sono Regno Unito, Svizzera, Turchia, Egitto e Cina. Pertanto, ogni titolare o responsabile del trattamento che tratta dati personali degli interessati in questi paesi deve obbligatoriamente nominare uno o più rappresentanti stabiliti nei paesi in cui effettuano attività commerciale di beni o servizi o monitorano il comportamento degli interessati.

Note sull'Autore

Castelli Massimo Castelli Massimo

Giurista esperto in Data Protection e Compliance, Data Protection Officer | Data Protection Advisor, European Privacy Auditor ISDP©10003, Delegato Federprivacy per la Repubblica di San Marino. Email:
[email protected]

Prev GDPR e Codici di Condotta per le libere professioni: urgenza e importanza di sinergie tra ordini professionali e Garante Privacy
Next Artificial Intelligence Act e valutazione del rischio tra compliance e responsabilità sociale dell'impresa

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy