L’ampia portata del Regolamento si ricava anche soffermandosi sulla rilevante platea di soggetti che sono destinatari della nuova disciplina europea.

Il GDPR espande l’ambito territoriale di applicazione della normativa (rispetto a quanto previsto dal Codice della Privacy) e stabilisce, innanzitutto, che sono tenuti a rispettarne e ad applicarne le disposizioni i soggetti stabiliti nel territorio europeo, indipendentemente dal fatto che le relative attività di trattamento dei dati personali siano poi effettuate all’interno dell’Unione Europea. Occorre tenere presente, peraltro, che, sempre nell’ottica di prevenire, per quanto possibile, elusioni della regolamentazione, con il termine “stabilimento”, la disciplina europea si riferisce all’esistenza di un “effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile” (Considerando n. 22). Per evitare di adeguarsi al GDPR, quindi, le aziende non potranno giustificarsi adducendo la qualifica di mere filiali o di semplici succursali, perché quello a cui si dovrà fare attenzione, a prescindere dalla forma giuridica delle stesse, sarà l’attività concretamente esercitata presso la singola sede.

Come vedremo meglio in seguito, peraltro, uno dei tratti caratteristici del GDPR risiede proprio nel diverso approccio che ciascun soggetto coinvolto in attività di trattamento di dati personali dovrebbe assumere nell’affacciarsi alle nuove regole. Il GDPR richiede, infatti, un atteggiamento proattivo da parte dei suoi destinatari in grado di modellarne la disciplina sulle singole e diverse caratteristiche di ciascun contesto di riferimento. Si vuole in tal modo evitare di imporre a priori regole eccessivamente astratte e lontane da chi in concreto si trova ad effettuare attività che coinvolgono dati personali, per introdurre, attraverso valutazioni svolte caso per caso, una disciplina di più immediata comprensione e che possa adattarsi alle esigenze di ciascuna realtà imprenditoriale. Obiettivo finale, anche in questo caso, è quello di garantire un’effettiva e completa applicazione della normativa per assicurare una tutela reale ed efficace dei dati personali.

Le regole previste dal GDPR devono essere rispettate da titolari e responsabili del trattamento che operano a livello extraeuropeo nel caso in cui: (1) i dati da essi trattati riguardano soggetti che si trovano nell’ambito dell’Unione e (2) “le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione” (art. 3, par. 2, GDPR). Per quanto riguarda le attività di cui al punto (1), per valutare la rilevanza delle regole del GDPR bisognerà verificare se il titolare del trattamento intende fornire i propri servizi ad interessati che si trovano negli Stati membri (e, si noti bene, è sufficiente che le attività si rivolgano anche ad un solo Stato europeo). Nell’ipotesi del punto (2), invece, occorre verificare se le persone cui i dati personali trattati si riferiscono vengano tracciate su internet, ad esempio, attraverso attività di profilazione volte ad analizzarne preferenze e comportamenti. Il GDPR allarga così i confini di applicazione della normativa rispetto a quanto previsto dal Codice della Privacy. Quest’ultimo, infatti, fa riferimento al caso di trattamenti effettuati da soggetti stabiliti in territori extra europei, ma soltanto qualora siano impiegati “strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea” (art. 5, co. 2, d.lgs. 196/2003): limite che, come abbiamo visto, viene meno con l’entrata in vigore del GDPR.

Si può quindi affermare che, dal punto di vista dell’ambito territoriale e soggettivo di applicazione, il Regolamento supera i confini europei: sono, infatti, sottoposte alle regole in esso contenute anche le aziende situate fuori dall’Unione Europea nei casi in cui le stesse offrano servizi e prodotti a persone fisiche che si trovano nel territorio europeo ovvero qualora svolgano attività di monitoraggio del comportamento di soggetti localizzati nell’UE. Al ricorrere di tali condizioni, dunque, tutte le imprese dovranno rispettare la disciplina prevista dal Regolamento, a prescindere dal luogo in cui sono stabilite e indipendentemente da dove siano situati gli strumenti dalle stesse utilizzati per realizzare i trattamenti (art. 3 GDPR).

Ultimi aggiornamenti

ransomware data breach pa azienda cosa fare
Il recentissimo attacco subìto dal sito del Comune di Palermo, con notevole esfiltrazione di dati (poi pubblicati online), è solo l’ultimo in ordine di tempo di una lunga scia contro le infrastrutture informatiche, pubbliche o private, italiane. Non più tardi di due mesi fa, infatti, lo […]
L’incertezza degli ultimi anni ha incrementato significativamente la complessità dei rapporti tra aziende e fornitori, mettendo in luce l’importanza di tecniche di approvvigionamento efficienti ed efficaci. Nel gergo aziendalistico, il processo di reperimento dei beni e servizi necessari al funzionamento dell’impresa viene chiamato procurement. Si tratta […]
linee guida accessibilità app norma
L’accessibilità degli strumenti informatici è la capacità degli stessi di erogare servizi e fornire informazioni fruibili, senza discriminazioni, anche da parte di soggetti portatori di disabilità, eventualmente predisponendo le tecnologie o configurazioni particolari necessarie (c.d. tecnologie assistive). Si tratta, com’è ovvio, di un tema di particolare […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.