Art. 2 GDPR — Ambito di applicazione materiale

Commento

La portata materiale del Regolamento

L'art. 2 GDPR delimita il perimetro materiale di applicazione del Regolamento. Il paragrafo 1 fissa la regola positiva: il GDPR si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. La definizione opera con due fuochi: la natura del trattamento (automatizzato o cartaceo strutturato) e la nozione di archivio (insieme strutturato di dati accessibili secondo criteri determinati, ai sensi dell'art. 4, n. 6). I trattamenti non automatizzati e non archiviati restano fuori dal Regolamento: lo è ad esempio l'appunto manoscritto occasionale di una persona fisica privo di struttura archivistica.

Le esclusioni del paragrafo 2

Il paragrafo 2 elenca quattro categorie di esclusioni: attività che esulano dall'ambito del diritto dell'Unione; attività degli Stati membri nel quadro della politica estera e di sicurezza comune (PESC); trattamenti per scopi esclusivamente personali o domestici; trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati. Le prime due delineano i confini orizzontali del diritto dell'Unione: il GDPR non penetra in materie sottratte alla competenza UE dai Trattati. La sicurezza nazionale è prerogativa esclusiva degli Stati membri (art. 4, par. 2, TUE) e il GDPR non disciplina i trattamenti delle agenzie di intelligence nazionali.

L'esclusione domestica (household exception)

La lettera c) sottrae al GDPR il trattamento effettuato da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico. Il considerando 18 chiarisce l'ambito: corrispondenza, agende, attività di social networking esercitate nel contesto delle attività medesime. La giurisprudenza CGUE consolidata (sentenze Lindqvist e Ryneš) ha però perimetrato strettamente questa esenzione: la pubblicazione di dati su Internet rivolta a un pubblico indeterminato, anche se gestita da privato, esce dal perimetro domestico; così come la videosorveglianza domestica che riprende il suolo pubblico. La regola pratica è netta: appena il trattamento ha rilievo sociale o esterno, il GDPR si applica integralmente.

Rapporto con la Direttiva (UE) 2016/680

La lettera d) esclude i trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento, perseguimento di reati o esecuzione di sanzioni penali, inclusa la salvaguardia contro minacce alla sicurezza pubblica. Questi trattamenti sono disciplinati dalla Direttiva (UE) 2016/680 (cd. Law Enforcement Directive), recepita in Italia con il D.Lgs. 51/2018. Il confine non è sempre netto: gli stessi dati possono essere trattati prima per finalità di sicurezza (Direttiva) e poi per fini diversi (GDPR). La CGUE ha ribadito che ogni passaggio di finalità richiede una nuova base giuridica e che l'esclusione va interpretata restrittivamente, perché ogni eccezione al GDPR riduce la tutela del diritto fondamentale.

Coordinamento con il Regolamento 2018/1725

Il paragrafo 3 prevede che il trattamento di dati personali da parte delle istituzioni, organi e organismi dell'Unione sia disciplinato dal Regolamento (UE) 2018/1725, che replica struttura e principi del GDPR adattandoli all'apparato amministrativo UE. La coesistenza è organica: per i cittadini europei la tutela non si interrompe quando i dati passano dall'amministrazione nazionale a quella unionale. Il considerando 17 e l'art. 98 GDPR programmano un riesame coordinato di tutti gli atti dell'Unione in materia di protezione dei dati, allo scopo di garantire coerenza sistemica.

Rapporto con ePrivacy e discipline settoriali

Il paragrafo 4 fa salva la Direttiva 2000/31/CE sul commercio elettronico, in particolare le disposizioni sulla responsabilità dei prestatori intermediari. La disciplina sulle comunicazioni elettroniche (Direttiva 2002/58/CE, cd. ePrivacy) ha rapporto di specialità: l'art. 95 GDPR chiarisce che le disposizioni del Regolamento non aggiungono obblighi ulteriori a quelli già previsti dalla ePrivacy per la stessa finalità. È un coordinamento essenziale: cookie, metadati delle comunicazioni elettroniche e marketing diretto restano governati dalla disciplina di settore (in Italia, il Codice delle comunicazioni elettroniche e i provvedimenti del Garante sui cookie 2014 e 2021), nel rispetto dei principi del GDPR.

Regola pratica e checklist operativa

Per ogni nuovo progetto, l'art. 2 è la prima checklist: (i) verificare se vi è trattamento automatizzato o archivio strutturato; (ii) escludere ricadute domestiche solo se l'attività è effettivamente confinata alla sfera personale; (iii) qualificare correttamente la finalità (se penale, applicare la Direttiva 2016/680 e il D.Lgs. 51/2018; se istituzionale UE, applicare il Reg. 2018/1725). Le esclusioni vanno interpretate restrittivamente: in dubbio, il GDPR si applica integralmente. Il consulente deve documentare la valutazione di applicabilità, ad esempio nel registro dei trattamenti ex art. 30, per dare evidenza dell'avvenuta analisi.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.