L’European Data Protection Board ha adottato definitivamente le linee guida sull’ambito di applicazione territoriale del GDPR, andando a chiarire aspetti operativi in merito alla portata extraterritoriale del Regolamento UE, utili alle aziende e ai professionisti. 

Le Linee Guida confermano che il GDPR si applica al trattamento di dati personali nel contesto di attività svolte da un titolare o da un responsabile in uno stabilimento situato nell’Unione Europea, seguendo un principio già esistente ai sensi della direttiva sulla protezione dei dati del 1995. Ciò a conferma dell’articolo 3, comma 1 del GDPR: “Il regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

Tale articolo pone le basi del cosiddetto establishment criterion, che da un lato fornisce la definizione di “stabilimento” ai sensi della legislazione dell’UE sulla protezione dei dati, dall’altro chiarisce cosa si intenda per “elaborazione nel contesto delle attività di uno stabilimento nell’Unione” e, infine, conferma che il GDPR si applica indipendentemente dal fatto che il trattamento effettuato nel contesto delle attività di questo stabilimento abbia luogo nell’Unione oppure no. Il documento recante le linee guida fornisce inoltre una serie di esempi volti a chiarire l’ambito di applicazione della disciplina di protezione dei dati, tanto nel caso in cui venga in rilievo l’art.3, comma 1 (criterio dello stabilimento sul territorio) che l’art.3, comma 2 (criterio del targeting), oppure l’applicazione dell’art.3, comma 3 (criterio del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico).

L’EDPB raccomanda un triplice approccio nel determinare se il trattamento dei dati personali rientri o meno nell’ambito di applicazione del GDPR:
• in primo luogo, valutare se l’organizzazione è stabilita in UE (il Titolare del trattamento o il Responsabile del trattamento di dati hanno uno stabilimento in Europa?);
• in secondo luogo, determinare se i dati personali sono trattati nel contesto dello stabilimento (il Titolare e il Responsabile di dati personali effettuano trattamenti nel contesto delle attività di uno stabilimento?);
• in terzo luogo il GDPR si applica allo stabilimento indipendentemente dal fatto che il trattamento abbia luogo in UE (dove si svolge il trattamento dei dati personali?).

Quello che emerge è una soglia: la presenza di un singolo dipendente o agente potrebbe essere sufficiente affinché si applichi il GDPR. Infatti, le linee guida EDPB estendono ulteriormente questo principio per le organizzazioni online, scoprendo che “la soglia per un accordo stabile” può essere piuttosto bassa quando il centro delle attività di un responsabile del trattamento riguarda la fornitura di servizi online. Se le attività di trattamento da parte del responsabile del trattamento, sotto le istruzioni del titolare del trattamento, sono correlate all’offerta di beni o servizi agli interessati nell’UE, l’attività di trattamento da parte del responsabile del trattamento non stabilita nell’UE sarà soggetta al GDPR.

Altro caso, riguarda “i trattamenti dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione”. Secondo l’interpretazione dei Garanti, se un sito di e-commerce apre un ufficio su territorio UE per promuovere le proprie attività commerciali potrà essere considerato alla stregua di uno stabilimento europeo della società stessa, pertanto l’azienda dovrà adeguarsi al GDPR.
Sarà tenuta, altresì, ad adeguarsi anche un’azienda basata in un Paese extra UE che propone a utenti comunitari un’app con servizi di geolocalizzazione, per offrir loro pubblicità mirata su monumenti da visitare, esperienze, bar, hotel e ristoranti.

In considerazione del notevole impatto e dei risvolti che tali linee guida potrebbero avere su organizzazioni e imprese, comunitarie e non, l’EDPB ha ritenuto di dover sottoporre il testo a consultazione pubblica prima della definitiva approvazione. La sessione consultiva si chiuderà il 18 Gennaio 2019.