I criteri di stabilimento e targeting spiegati dagli esempi dell'EDPB per l'applicazione territoriale del GDPR

Le Linee Guida 3/2018 sull'applicazione territoriale del GDPR elaborate dal Comitato UE per la protezione dei dati o EDPB European Data Protection Board costituiscono un utilissimo vademecum rivolto alle imprese europee ed extra UE per capire se sono sottoposte alla disciplina del GDPR e in quali termini.

La stesura delle Linee Guida risulta particolarmente fruibile grazie al taglio pratico e alla ricchezza di esempi. Perfettamente in linea con lo spirito normativo articolo 3 e relativi Considerando , giurisprudenziale sentenze della CGUE ed interpretativo pareri del WP29 ora EDPB registrato fino ad ora, le Linee Guida tentano di agevolare lo sviluppo del livello di parità di condizioni per le società attive sul mercato UE al fine di garantire la protezione globale dei diritti degli interessati nell'Unione. L'analisi si diparte dal testo dell'articolo 3 del GDPR dedicato interamente ai criteri di applicazione territoriale della disciplina data protection. Il testo dell'articolo 3 individua due criteri generali per l'applicazione territoriale del Regolamento UE che sono il criterio dello stabilimento e il criterio del targeting . Art. 3 GDPR paragrafo 1 - criterio dello stabilimento 1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. Art. 3 GDPR paragrafo 2 - criterio del targeting 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano a l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato oppure b il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione. Infine il legislatore europeo disciplina anche la questione dei consolati e delle ambasciate situati in Paesi extra UE che in virtù del diritto internazionale pubblico devono applicare il GDPR. Art. 3 GDPR paragrafo 3 - consolati ed ambasciate UE situati in Paesi extra UE 3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. Criterio dello stabilimento - articolo 3, par. 1 GDPR L'EDPB parte dal concetto di stabilimento così come espresso dal Considerando 22 del GDPR secondo cui uno stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile . Al fine di chiarire nel concreto tale definizione l'EDPB ricorre al seguente esempio. Esempio 1 una casa automobilistica con sede negli Stati Uniti ha una filiale di proprietà situata a Bruxelles che sovrintende a tutte le sue operazioni in Europa, compresi marketing e pubblicità. La filiale belga può essere considerata uno stabilimento perché esercita attività reali ed efficaci alla luce della natura dell'attività economica svolta dalla casa automobilistica. Pertanto, la filiale belga potrebbe essere considerata come uno stabilimento nell'Unione, ai sensi del GDPR. Il Comitato UE si preoccupa di evidenziare che - sebbene la ratio del GDPR sia quella di estendere la propria applicazione a tutte le imprese che operano nel SEE evitando disparità di trattamento - l'esistenza di uno stabilimento non determina sempre automaticamente l'applicazione del GDPR. L'EDPB sostiene infatti che se da un lato, al fine di conseguire l'obiettivo di garantire una protezione efficace e completa, il significato di nel contesto delle attività di uno stabilimento non può essere interpretato in modo restrittivo, dall'altro lato l'esistenza di uno stabilimento non dovrebbe essere interpretata in modo troppo ampio da concludere sempre per l'applicazione del GDPR. L'esistenza di uno stabilimento non determina automaticamente l'applicazione del GDPR. Occorre ogni volta analizzare il caso concreto e verificare se l'attività dello stabilimento è strettamente collegata con l'attività-trattamento dati. Il Comitato UE per la protezione dei dati EDPB individua due sotto-criteri del generale criterio dello stabilimento per stabilire l'applicazione o meno del GDPR. Tali sotto-criteri sono individuati nel legame inestricabile tra l'attività dello stabilimento e il trattamento del titolare e nel legame inestricabile tra l'attività di revenue raising del responsabile e il trattamento del titolare. Ipotesi in cui esiste nel rapporto Titolare-Responsabile un legame inestricabile tra l'attività della filiale stabilita in Europa e l'attività-trattamento dati dell'impresa-madre situata in un Paese extra UE anche se la filiale-stabilimento non sta assumendo alcun ruolo nel trattamento dei dati. E' il caso della CGUE Costeja/Google 13.05.14 in cui l'attività di raccolta di pubblicità della filiale stabilita Google Spain tesa a far salire il rating on line dei clienti aveva un legame inestricabile con l'attività-trattamento dati di indicizzazione del motore di ricerca dell'impresa-madre Google. Ipotesi in cui l'attività di revenue raising svolta dalla filiale stabilita in Europa risulta avere un legame inestricabile con l'attività di trattamento dati dell'impresa-madre extra UE Titolare del trattamento. La situazione viene spiegata dall'EDPB con un esempio. Esempio 2 un sito Web di e-commerce è gestito da una società con sede in Cina. Le attività di trattamento dei dati personali dell'azienda sono svolte esclusivamente in Cina. La società cinese ha istituito un ufficio europeo a Berlino per condurre e attuare campagne di prospezione commerciale e marketing verso i mercati dell'UE. In questo caso, si può ritenere che le attività dell'ufficio europeo di Berlino siano indissolubilmente legate al trattamento dei dati personali effettuato dal sito Web di e-commerce cinese, nella misura in cui la campagna di prospezione commerciale e di marketing verso i mercati dell'UE serve in particolare a rendere redditizio il servizio offerto dal sito Web di e-commerce. Il trattamento dei dati personali da parte della società cinese in relazione alle vendite nell'UE è indissolubilmente legato alle attività dell'ufficio europeo di Berlino relative alla prospezione commerciale e alla campagna di marketing verso il mercato dell'UE. Il trattamento di dati personali da parte della società cinese in relazione alle vendite nell'UE può pertanto essere considerato effettuato nell'ambito delle attività dell'ufficio europeo, in quanto stabilimento nell'Unione. Questa attività di trattamento da parte della società cinese sarà pertanto soggetta alle disposizioni del GDPR di cui all'articolo 3, paragrafo 1. Criterio del targeting - articolo 3, par. 2, GDPR Il criterio del targeting viene stabilito dall'articolo 3, paragrafo 2, GDPR. L’articolo 3, paragrafo 2, dispone che il regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano a l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato oppure b il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione . L'EDPB scivola dalla spiegazione del criterio dello stabilimento a quella del criterio del targeting con un esempio. Esempio 3 una catena di hotel e resort situata in Sudafrica offre pacchetti attraverso il proprio sito Web disponibile in inglese, tedesco, francese e spagnolo. La società non ha alcun ufficio, rappresentanza o filiale nell'UE. In questo caso, in assenza di rappresentanza o stabilimento della catena alberghiera all'interno del territorio dell'Unione, sembra che nessuna entità collegata a questo Titolare del trattamento possa qualificarsi come stabilimento nell'UE ai sensi del GDPR. Pertanto il trattamento in questione non può essere soggetto alle disposizioni del GDPR, ai sensi dell'articolo 3, paragrafo 1. Tuttavia queste attività di trattamento trovano disciplina nell'articolo 3, paragrafo 2 e pertanto anche questa ipotesi resta sottoposta al GDPR. La catena alberghiera extra UE - sebbene senza stabilimenti - compie comunque il trattamento dati dei potenziali clienti e dei clienti europei che visitano il sito web ed interagiscono per acquistare i pacchetti di soggiorno e quindi deve necessariamente attenersi al GDPR. In difetto si verificherebbe una lacuna nel sistema di tutele previste per la protezione dati degli interessati europei. Appositamente per coprire anche i tantissimi casi come questo, è stato elaborato il criterio del targeting . Il criterio del targeting trova applicazione quando un'impresa extra UE senza stabilimento offre dei servizi on line indirizzati o targetizzati per il mercato dei cittadini europei nonché quando tale impresa studia il comportamento del proprio pubblico UE al fine di targettizzarlo o profilarlo ancora più precisamente. Pertanto i requisiti necessari per applicare il GDPR si individuano nei seguenti elementi nell'impresa extra UE senza stabilimento, nell'offerta di un bene o di un servizio online, nella targettizzazione dell'offerta per il consumatore/utente europeo nell'eventuale monitoraggio dei consumatori. L'esistenza dell'elemento del targeting si evince quando l'impresa dimostra l'intenzione di mirare proprio a un determinato tipo di mercato. Quest'ultimo requisito dev'essere vagliato con attenzione perché si può anche dare il caso dell'impresa extra UE senza stabilimento che offre servizi on line ma che non ha intenzione né volontà di rivolgersi al mercato europeo. L'EDPB concretizza con un esempio. Esempio 8 una società australiana offre un servizio mobile di notizie e contenuti video, basato sulle preferenze e sugli interessi degli utenti. Gli utenti possono ricevere aggiornamenti giornalieri o settimanali. Il servizio è offerto esclusivamente agli utenti situati in Australia, che devono fornire un numero di telefono australiano al momento dell'iscrizione. Un abbonato australiano del servizio si reca in Germania in vacanza e continua a utilizzare il servizio. Sebbene l'abbonato australiano utilizzerà il servizio mentre si trova nell'UE, il servizio non si rivolge alle persone nell'Unione, ma si rivolge solo alle persone in Australia, quindi il trattamento dei dati personali da parte della società australiana non rientra nell'ambito di applicazione del GDPR. Allora come si riconosce la condotta dell'impresa che ha intenzione di rivolgersi al target UE? L'EDPB elenca alcune condotte rivelatrici dell'intenzione e della volontà dell'impresa di rivolgersi al mercato UE - il titolare del trattamento o il responsabile del trattamento paga un operatore di un motore di ricerca per un servizio di indicizzazione on line al fine di facilitare l'accesso al proprio sito da parte dei consumatori UE oppure ha lanciato campagne di marketing e pubblicitarie rivolte al pubblico dei paesi dell'UE - la natura internazionale dell'attività in questione, come alcune attività turistiche - la menzione di indirizzi o numeri di telefono dedicati da raggiungere da un paese dell'UE - l'uso di un nome di dominio di livello superiore diverso da quello del paese terzo in cui è stabilito il titolare o il responsabile del trattamento, ad esempio .de , o l'uso di nomi di dominio di livello superiore neutrali come .Unione Europea - l'uso di una lingua o una valuta diversa da quella generalmente utilizzata nel Paese del commerciante, in particolare una lingua o una valuta di uno o più Stati membri dell'UE - il titolare del trattamento offre la consegna di merci negli Stati membri dell'UE. L'EDPB con l'esempio n. 9 offre una chiara descrizione dell'impresa extra UE senza stabilimento che si rivolge al mercato europeo e addirittura ne monitora i comportamenti. Esempio 9 una start-up stabilita negli Stati Uniti, senza alcuna presenza commerciale o stabilimento nell'UE, fornisce un'applicazione di mappatura della città per i turisti. L'applicazione elabora i dati personali relativi alla posizione dei clienti che utilizzano l'app gli interessati una volta che iniziano a utilizzare l'applicazione nella città che visitano, al fine di offrire pubblicità mirata per luoghi di visite, ristoranti, bar e hotel. L'applicazione è disponibile per i turisti che visitano New York, San Francisco, Toronto, Parigi e Roma. La start-up americana, tramite la sua applicazione di mappatura delle città, si rivolge in modo specifico alle persone dell'Europa in particolare a Parigi e Roma offrendo loro i servizi quando si trovano nell'Unione. Il trattamento dei dati personali degli interessati situati nell'UE in relazione all'offerta del servizio rientra nell'ambito di applicazione del GDPR di cui all'articolo 3, paragrafo 2, lettera a . Inoltre, elaborando i dati sulla posizione dell'interessato al fine di offrire pubblicità mirata sulla base della loro posizione, le attività di trattamento riguardano anche il monitoraggio del comportamento delle persone nell'Unione. Pertanto, anche questo rientra nell'ambito di applicazione del GDPR di cui all'articolo 3, paragrafo 2, lettera b . Un problema interpretativo che si era posto prima dell'emanazione definitiva delle Linee Guida atteneva alla riconducibilità o meno nella disciplina GDPR del responsabile esterno ovvero del fornitore dell'impresa extra UE titolare del trattamento. L'EDPB si esprime adesso sul punto in modo affermativo tramite l'esposizione dell'Esempio 20 una società statunitense ha sviluppato un'app per la salute e lo stile di vita, che consente agli utenti di registrare con la società americana i propri indicatori personali tempo di sonno, peso, pressione sanguigna, battito cardiaco, ecc . L'app fornisce quindi agli utenti consigli giornalieri su raccomandazioni alimentari e sportive. Il trattamento è effettuato dal titolare del trattamento dei dati negli Stati Uniti. L'app è resa disponibile e utilizzata da persone nell'Unione. Ai fini della memorizzazione dei dati, la società statunitense utilizza un responsabile del trattamento stabilito negli Stati Uniti fornitore di servizi cloud . Nella misura in cui la società americana sta monitorando il comportamento delle persone nell'UE, nel gestire l'app per la salute e lo stile di vita, prenderà di mira le persone nell'UE e il suo trattamento dei dati personali rientrerà nell'ambito di applicazione del GDPR ai sensi dell'articolo 3, par. 2. Nell'esecuzione del trattamento su istruzioni e per conto della società statunitense il fornitore / responsabile del cloud sta svolgendo un'attività di elaborazione relativa al targeting di soggetti nell'UE da parte del suo titolare del trattamento. Questa attività di elaborazione da parte del responsabile del trattamento per conto del suo titolare del trattamento rientra nell'ambito di applicazione del GDPR ai sensi dell'articolo 3, paragrafo 2. Consolati e Ambasciate UE all'estero. Si applica il GDPR L'EDPB ritiene che il GDPR si applichi al trattamento dei dati personali effettuato dalle ambasciate e dai consolati degli Stati membri dell'UE situati al di fuori dell'UE in quanto tale trattamento rientra nell'ambito di applicazione del GDPR in virtù dell'articolo 3, paragrafo 3. Il diplomatico di uno Stato membro, in qualità di titolare del trattamento o responsabile del trattamento dei dati, resta soggetto a tutte le disposizioni pertinenti del GDPR, anche per quanto riguarda i diritti dell'interessato, gli obblighi generali relativi al titolare del trattamento e al responsabile del trattamento e in merito ai trasferimenti di dati personali a paesi terzi o organizzazioni internazionali. L'EDPB chiarisce con un esempio. Esempio 22 il consolato olandese a Kingston, in Giamaica, apre una procedura di candidatura on line per l'assunzione di personale locale al fine di supportare la sua amministrazione. Mentre il consolato olandese a Kingston, in Giamaica, non è stabilito nell'Unione, il fatto che si tratti di un posto consolare di un paese dell'UE in cui il diritto degli Stati membri si applica in virtù del diritto internazionale pubblico rende il GDPR applicabile al suo trattamento di dati personali, di cui all'articolo 3, paragrafo 3.

EDPB_LineeGuida