Linee Guida sull'ambito di applicazione territoriale del Gdpr, la circolare di Federprivacy
Stop alla elusione della protezione della privacy: è questa la sintesi più appropriata delle Linee Guida del Comitato europeo per la protezione dei dati, dedicate all’analisi e illustrazione dell’articolo 3 del Regolamento generale sulla protezione dei dati n. 2016/679 (universalmente noto come GDPR), su cui Federprivacy ha emanato la Circolare 4-2019.
Se un’impresa UE, dunque, sposta i dati all’estero utilizzando un fornitore estero per il loro trattamento, quest’ultimo deve essere individuato quale responsabile del trattamento e vincolato contrattualmente al rispetto del GDPR.
Se un’impresa (quale titolare) si sposta all’estero, il GDPR continuerà ad applicarsi se offre beni o servizi a persone nella UE o monitori il loro comportamento nella UE, che lo faccia o meno per il tramite di un responsabile.
Anzi, un responsabile stabilito è tenuto a rispettare le disposizioni del GDPR sul data processor, anche se il GDPR non si applica al titolare (perché non stabilito e perché non offre beni/servizi a interessato UE e perché non esegue monitoraggio comportamentale nella UE).
A parte l’ipotesi del trattamento che non interessa persone che si trovano nella Unione europea e svolto da operatori stabiliti fuori dall’Unione Europea (ipotesi, questa, che configura un’assoluta extraterritorialità, per la quale non avrebbe nemmeno fondamento trattare di un’applicazione del GDPR), tolta questa ipotesi, dunque, e incrociando tipi di attività e luogo di stabilimento del titolare o del responsabile, c’è un solo caso in cui non si applica il GDPR.
Il Regolamento non si applica al titolare del trattamento stabilito fuori dall’Unione, che tratti dati di persone per ragioni diverse dall’offerta di beni o servizi o per il monitoraggio comportamentale. Con la precisazione che se tale titolare si rivolgesse a un responsabile stabilito nell’UE, a quest’ultimo si applica il GDPR.
