Art. 3 GDPR — Ambito di applicazione territoriale

Commento

La logica dell'extraterritorialità

L'art. 3 GDPR è il cuore dell'ambizione globale del Regolamento. La sua logica è proteggere effettivamente l'interessato europeo a prescindere dal luogo di stabilimento del titolare o del responsabile. La direttiva 95/46/CE faceva leva sul criterio dello stabilimento e dell'uso di mezzi nel territorio UE: il Regolamento abbandona quest'ultimo riferimento e introduce un criterio di destinazione (cd. targeting test), molto più adatto all'economia digitale, dove i server possono trovarsi ovunque e i servizi raggiungere chiunque. La CGUE ha confermato l'impostazione in pronunce consolidate sui motori di ricerca e sui trasferimenti, dando solidità interpretativa al nuovo criterio territoriale.

Il criterio dello stabilimento (par. 1)

Il paragrafo 1 stabilisce che il GDPR si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare o di un responsabile nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. La nozione di stabilimento è dinamica: implica l'esercizio effettivo e reale di attività mediante un'organizzazione stabile, anche minima. La presenza di un sito web in lingua locale, la pubblicità mirata e la presenza di rappresentanti commerciali possono integrare stabilimento. È irrilevante, ai fini dell'applicazione, dove i server fisici si trovano: ciò che conta è l'attività dello stabilimento UE.

Il targeting test (par. 2)

Il paragrafo 2 estende l'applicabilità del GDPR ai trattamenti effettuati da titolari o responsabili non stabiliti nell'Unione quando riguardano l'offerta di beni o servizi a interessati nell'Unione (lett. a) o il monitoraggio del comportamento se ha luogo nell'Unione (lett. b). Il considerando 23 chiarisce che la mera accessibilità di un sito web dall'UE non basta: occorre un'intenzione manifesta di rivolgersi al pubblico europeo, desumibile da indici come l'uso della lingua di uno Stato membro diversa da quella del titolare, l'uso della valuta locale, la possibilità di ordinare in lingua, riferimenti a clienti UE. Le linee guida EDPB 3/2018 hanno consolidato un test casistico, oggi standard di compliance per le piattaforme globali.

Il monitoraggio del comportamento

La lettera b) include i trattamenti di monitoraggio del comportamento di interessati che si trovano nell'Unione. Il considerando 24 chiarisce che si considera monitoraggio il tracciamento online delle persone su Internet, comprensivo di tecniche di profilazione potenzialmente utilizzate per prendere decisioni o per analizzare/prevedere preferenze, comportamenti e atteggiamenti. La nozione è ampia: cookies di profilazione, fingerprinting, geolocalizzazione comportamentale, analytics avanzati che restituiscono dossier individuali. La giurisprudenza dell'EDPB e dei Garanti nazionali ha ribadito che il targeting test non è mera regola formale: ha effetti sostanziali in termini di obbligo di rappresentante UE, sanzioni e diritti dell'interessato.

L'obbligo di rappresentante UE

I titolari o responsabili extra-UE che ricadono nel par. 2 devono designare per iscritto un rappresentante nell'Unione (art. 27), salvo eccezioni (trattamento occasionale, non su larga scala, senza categorie particolari di dati o dati di condanne). Il rappresentante è il punto di contatto per interessati e Autorità di controllo e può essere chiamato a rispondere in solido per inosservanze: la sua designazione non sostituisce l'obbligazione del titolare extra-UE ma facilita l'enforcement transfrontaliero. La prassi internazionale mostra come piattaforme globali abbiano costituito stabilimenti UE proprio per centralizzare il rapporto con il Garante capofila ex art. 56.

Brussels effect e contenzioso

L'art. 3 ha generato il fenomeno cd. Brussels effect: molti attori globali hanno adottato standard GDPR-compliant in tutto il mondo perché è più semplice uniformare le politiche che gestire regimi differenziati. Sul piano del contenzioso, l'art. 3 ha dato origine a sanzioni miliardarie contro piattaforme statunitensi e a importanti precedenti sulla competenza giurisdizionale e sull'individuazione del Garante capofila. La regola pratica per ogni operatore extra-UE è chiara: se rivolge servizi o sorveglia utenti nell'Unione, deve adeguarsi al GDPR. La conformità si traduce in vantaggio competitivo, oltre che in scudo da rischi sanzionatori e reputazionali.

Regola pratica e checklist operativa

Per ogni operatore con elemento transfrontaliero la checklist art. 3 è: (i) identificare gli stabilimenti UE e mappare le attività di trattamento svolte nel loro ambito; (ii) per soggetti extra-UE, valutare con criteri EDPB se l'offerta è rivolta al mercato UE o se vi è monitoraggio; (iii) se sì, designare il rappresentante ex art. 27 e individuare il Garante capofila ex art. 56; (iv) documentare la valutazione nel registro dei trattamenti. Il rischio sanzionatorio è altissimo: piattaforme globali hanno pagato cifre miliardarie per inosservanze territoriali. La compliance è un investimento difensivo.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.