Le “linee guida sull’applicazione dell’ambito territoriale del Gdpr” approvate nel corso della quarta riunione plenaria del Comitato europeo per la protezione dei dati, di cui fa parte anche il Garante privacy italiano chiariscono alcuni aspetti dell’articolo 3 del Gdpr.
L’articolo 3 del regolamento Ue n. 679/2016 definisce l’ambito di applicazione dello stesso. Esso si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione; al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Il regolamento si applica inoltre al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Le “linee guida sull’applicazione dell’ambito territoriale del Gdpr” approvate nel corso della quarta riunione plenaria del Comitato europeo per la protezione dei dati, di cui fa parte anche il Garante privacy italiano – come accennato – chiariscono alcuni aspetti dell’articolo 3 del Gdpr. Molte imprese con sede in altri continenti, tra cui i giganti del mondo digitale, sono obbligate al rispetto della normativa privacy europea.
Un sito di e-commerce, ad esempio, apre a Milano un ufficio per promuovere le proprie attività commerciali, esso può essere considerato al pari di uno stabilimento europeo della società stessa. E’ tenuta ad adeguarsi alla normativa europea anche una start-up statunitense che propone “app” con servizi di geolocalizzazione a utenti che si trovano a Roma o Parigi, per offrire loro pubblicità mirata su luoghi da visitare, ristoranti e hotel. Al contrario, non è soggetta al Gdpr una banca di Taiwan che offre servizi a clienti che risiedono in quel Paese, anche se si tratta i dati di persone con cittadinanza tedesca o di un’altra nazione dell’Ue.
In considerazione del forte impatto che le linee guida possono produrre sull’attività di istituzioni e imprese – sia europee, sia straniere – con potenziali pesanti sanzioni per chi non rispettasse la normativa Ue, il Board europeo dei Garanti privacy ha sottoposto il testo a consultazione pubblica prima della sua definitiva approvazione.
Link all’articolo originale
