Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 27 del Regolamento (UE) 2016/679 (GDPR) – Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

In sintesi

  • L'art. 27 GDPR impone la designazione di un rappresentante UE ai titolari/responsabili extra-UE soggetti all'art. 3, par. 2.
  • Il rappresentante è il punto di contatto per interessati e Autorità.
  • Eccezioni (par. 2): trattamento occasionale senza rischio + autorità pubbliche.
  • Designazione per iscritto, stabilito in uno SM degli interessati.
  • Compiti: gestire diritti, cooperare con Autorità, indicazione nell'informativa.
  • Responsabilità solidale: il rappresentante può essere oggetto di azioni esecutive.
Indice dei contenuti

Logica del rappresentante UE

L'art. 27 GDPR impone ai titolari o responsabili non stabiliti nell'Unione che ricadono nel campo di applicazione dell'art. 3, par. 2 di designare per iscritto un rappresentante nell'Unione. La norma serve ad assicurare che la protezione GDPR non sia frustrata dalla distanza geografica e dalla difficoltà di enforcement. Il rappresentante è punto di contatto per interessati e Autorità di controllo, e facilita l'esercizio dei diritti e le ispezioni transfrontaliere. Le linee guida EDPB 3/2018 e successive hanno consolidato il quadro applicativo.

Quando designare (par. 1)

L'obbligo opera quando: il titolare o il responsabile è non stabilito nell'UE; il trattamento ricade nell'art. 3, par. 2 (offerta di beni/servizi a interessati nell'Unione o monitoraggio del comportamento); non si applicano le eccezioni del par. 2. La designazione deve essere per iscritto e indicare il rappresentante in modo chiaro e accessibile. Il rappresentante deve essere stabilito in uno degli Stati membri in cui si trovano gli interessati i cui dati sono trattati nel contesto dell'offerta di beni/servizi o del monitoraggio.

Eccezioni (par. 2)

Il par. 2 prevede due eccezioni: (a) trattamento occasionale, che non includa il trattamento, su larga scala, di categorie particolari di dati di cui all'art. 9, par. 1 o di dati personali relativi a condanne penali e reati di cui all'art. 10, e che è improbabile presenti un rischio per i diritti e le libertà delle persone fisiche; (b) autorità pubbliche o organismi pubblici. Le eccezioni sono restrittive: l'EDPB ha richiesto valutazione documentata del carattere occasionale e dell'assenza di rischio.

Forma e contenuto della designazione (par. 3-4)

Il par. 3 specifica che il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati i cui dati sono trattati nel contesto dell'offerta di beni o servizi o il cui comportamento è monitorato. Il par. 4 prevede che il rappresentante sia incaricato dal titolare o dal responsabile di fungere da interlocutore, in aggiunta o in sostituzione di questi ultimi, in particolare delle autorità di controllo e degli interessati, su tutte le questioni relative al trattamento, ai fini dell'osservanza del Regolamento. La designazione deve essere comunicata all'autorità capofila e indicata nell'informativa.

Compiti del rappresentante (par. 4)

I compiti del rappresentante includono: gestire le richieste degli interessati (artt. 15-22); cooperare con le Autorità di controllo (compresa la consegna del registro art. 30); essere indicato nell'informativa (artt. 13-14); fungere da indirizzo per notifiche e ricorsi. Il rappresentante non sostituisce il titolare nelle decisioni sostanziali, ma è lo sportello operativo. La sua designazione non riduce la responsabilità del titolare extra-UE, che resta soggetto agli obblighi GDPR.

Responsabilità solidale

Il considerando 80 prevede che il rappresentante possa essere oggetto di azioni esecutive in caso di non conformità del titolare/responsabile. È regola di responsabilità solidale per facilitare l'enforcement: il Garante può procedere direttamente verso il rappresentante per sanzioni e ingiunzioni. La giurisprudenza ha confermato la natura cumulativa della responsabilità: rappresentante e titolare extra-UE rispondono entrambi. Per i titolari extra-UE, designare un rappresentante affidabile è scelta strategica oltre che obbligo.

Regola pratica e checklist operativa

Compliance art. 27: (i) verificare se ricade nell'art. 3, par. 2; (ii) valutare eccezioni (occasionalità, rischio); (iii) designare rappresentante affidabile in SM strategico; (iv) indicare nell'informativa; (v) comunicare designazione all'Autorità di controllo; (vi) garantire risorse al rappresentante per gestire richieste e cooperazione. La scelta del rappresentante è strategica per l'enforcement.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: e-commerce USA con clienti italiani

Tizio, società USA, vende ai consumatori italiani. Deve designare rappresentante UE ex art. 27, stabilito in Italia. Indicato nell'informativa e nei contatti privacy.

Caso 2: Caio: app indiana con monitoring europeo

Caio, startup indiana, traccia utenti UE. Art. 3, par. 2, lett. b integra applicabilità; art. 27 impone rappresentante UE. La scelta dello SM dipende dal mercato principale.

Caso 3: Sempronio: ricerca occasionale

Sempronio, istituto cinese, conduce sondaggio occasionale su cittadini UE. Se occasionale, no categorie particolari, no rischio significativo: eccezione par. 2, lett. a. La valutazione va documentata.

Caso 4: Commento applicativo

L'art. 27 è obbligo strategico per piattaforme globali. Designare rappresentante in SM con autorità capofila vicina semplifica i rapporti. Big Tech ha creato strutture europee ad hoc. PMI extra-UE usano service provider.

Domande frequenti

Quando devo designare un rappresentante UE?

Quando sono titolare/responsabile extra-UE soggetto all'art. 3, par. 2 (offerta di beni/servizi a UE o monitoraggio), salvo eccezioni del par. 2 (trattamento occasionale senza rischio, autorità pubbliche).

Dove deve essere stabilito?

In uno degli Stati membri in cui si trovano gli interessati i cui dati sono trattati. Scelta strategica: vicino al mercato principale o al Garante capofila.

Cosa fa il rappresentante?

Gestisce le richieste degli interessati, coopera con le Autorità di controllo, è indicato nell'informativa, riceve notifiche. È sportello operativo, non sostituisce il titolare nelle decisioni.

Il rappresentante risponde di violazioni?

Sì. Il considerando 80 prevede responsabilità solidale: può essere oggetto di azioni esecutive. La sua designazione non riduce la responsabilità del titolare extra-UE.

Posso usare un service provider?

Sì, esistono service provider specializzati in EU representative services. Per le PMI extra-UE è soluzione standard.

Ultimo aggiornamento redazionale: 2026-05-21
Vedi anche
A cura di
Andrea Marton — Dottore in Economia e Finanza, praticante commercialista
Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 101 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.