Qual è l’ambito di applicazione del GDPR con riferimento al territorio?
L’intento chiaro del legislatore europeo è di evitare lacune di tutela che riguardano lo spazio europeo (si tratta sostanzialmente di una affermazione di sovranità). La norma sconta, quindi, la dimensione ubiquitaria dei trattamenti in rete.
Ciò viene raggiunto attraverso alcune scelte di sostanziale extra-territorialità dell’efficacia del Regolamento per soddisfare le ragioni della parità di trattamento tra operatori e economici e quelle della tutela del cittadino.
La prima ipotesi considera il soggetto che tratta i dati: se è stabilito nell’Unione si applica il regolamento, anche se il trattamento sia effettuato fuori dell’Unione.
Sul punto occorre sottolineare che la norma si riferisce alternativamente al titolare o al responsabile del trattamento. È, quindi, sufficiente lo stabilimento del responsabile del trattamento.
La seconda ipotesi considera l’ubicazione del soggetto cui si riferiscono i dati personali: se si trova nell’Unione si applica il regolamento.
La norma si riferisce agli interessato che “si trovano” nell’Unione: si ritiene che “trovarsi” si riferisca a qualsiasi situazione (reale o virtuale) che colleghi la persona fisica al territorio europeo.
Questo, purché ricorrano due evenienze tra loro alternative: il trattamento riguarda offerta di beni e servizi (anche senza corrispettivo) oppure il trattamento riguarda il monitoraggio del comportamento dell’interessato all’interno dell’Unione.
A proposito dell’offerta di beni e servizi si chiarisce che elementi quali l'utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati europei, con la pos-sibilità di ordinare beni e servizi in tale altra lingua o la menzione di clienti o utenti che si trovano nell'Unione possono evidenziare l'intenzione di offrire beni o servizi a detti interessati nell'Unione. Al contrario non sono elementi sufficienti a radicare l’applicazione del regolamento altri elementi quali la semplice accessibilità del sito web, di un indirizzo di posta elettronica o di altre coordinate di contatto o l'impiego di una lingua abitualmente utilizzata nel Paese terzo in cui è stabilito il soggetto che tratta i dati.
A proposito del monitoraggio del comportamento, va verificato se le operazioni eseguite su Internet sono tracciate, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati volte alla profilazione dell’utente, in particolare per prendere decisioni che lo riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.
La terza ipotesi è quella del trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto nazionale di uno Stato membro in virtù del diritto internazionale pubblico.
Il principio di territorialità, dunque, può essere riferito allo stabilimento del soggetto che tratta i dati oppure al domicilio dell’interessato, nella sua veste di consumatore/cittadino.