Art. 27 GDPR — Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione

Commento

Logica del rappresentante UE

L'art. 27 GDPR impone ai titolari o responsabili non stabiliti nell'Unione che ricadono nel campo di applicazione dell'art. 3, par. 2 di designare per iscritto un rappresentante nell'Unione. La norma serve ad assicurare che la protezione GDPR non sia frustrata dalla distanza geografica e dalla difficoltà di enforcement. Il rappresentante è punto di contatto per interessati e Autorità di controllo, e facilita l'esercizio dei diritti e le ispezioni transfrontaliere. Le linee guida EDPB 3/2018 e successive hanno consolidato il quadro applicativo.

Quando designare (par. 1)

L'obbligo opera quando: il titolare o il responsabile è non stabilito nell'UE; il trattamento ricade nell'art. 3, par. 2 (offerta di beni/servizi a interessati nell'Unione o monitoraggio del comportamento); non si applicano le eccezioni del par. 2. La designazione deve essere per iscritto e indicare il rappresentante in modo chiaro e accessibile. Il rappresentante deve essere stabilito in uno degli Stati membri in cui si trovano gli interessati i cui dati sono trattati nel contesto dell'offerta di beni/servizi o del monitoraggio.

Eccezioni (par. 2)

Il par. 2 prevede due eccezioni: (a) trattamento occasionale, che non includa il trattamento, su larga scala, di categorie particolari di dati di cui all'art. 9, par. 1 o di dati personali relativi a condanne penali e reati di cui all'art. 10, e che è improbabile presenti un rischio per i diritti e le libertà delle persone fisiche; (b) autorità pubbliche o organismi pubblici. Le eccezioni sono restrittive: l'EDPB ha richiesto valutazione documentata del carattere occasionale e dell'assenza di rischio.

Forma e contenuto della designazione (par. 3-4)

Il par. 3 specifica che il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati i cui dati sono trattati nel contesto dell'offerta di beni o servizi o il cui comportamento è monitorato. Il par. 4 prevede che il rappresentante sia incaricato dal titolare o dal responsabile di fungere da interlocutore, in aggiunta o in sostituzione di questi ultimi, in particolare delle autorità di controllo e degli interessati, su tutte le questioni relative al trattamento, ai fini dell'osservanza del Regolamento. La designazione deve essere comunicata all'autorità capofila e indicata nell'informativa.

Compiti del rappresentante (par. 4)

I compiti del rappresentante includono: gestire le richieste degli interessati (artt. 15-22); cooperare con le Autorità di controllo (compresa la consegna del registro art. 30); essere indicato nell'informativa (artt. 13-14); fungere da indirizzo per notifiche e ricorsi. Il rappresentante non sostituisce il titolare nelle decisioni sostanziali, ma è lo sportello operativo. La sua designazione non riduce la responsabilità del titolare extra-UE, che resta soggetto agli obblighi GDPR.

Responsabilità solidale

Il considerando 80 prevede che il rappresentante possa essere oggetto di azioni esecutive in caso di non conformità del titolare/responsabile. È regola di responsabilità solidale per facilitare l'enforcement: il Garante può procedere direttamente verso il rappresentante per sanzioni e ingiunzioni. La giurisprudenza ha confermato la natura cumulativa della responsabilità: rappresentante e titolare extra-UE rispondono entrambi. Per i titolari extra-UE, designare un rappresentante affidabile è scelta strategica oltre che obbligo.

Regola pratica e checklist operativa

Compliance art. 27: (i) verificare se ricade nell'art. 3, par. 2; (ii) valutare eccezioni (occasionalità, rischio); (iii) designare rappresentante affidabile in SM strategico; (iv) indicare nell'informativa; (v) comunicare designazione all'Autorità di controllo; (vi) garantire risorse al rappresentante per gestire richieste e cooperazione. La scelta del rappresentante è strategica per l'enforcement.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.