L’ampia portata del Regolamento si ricava anche soffermandosi sulla rilevante platea di soggetti che sono destinatari della nuova disciplina europea.
Il GDPR espande l’ambito territoriale di applicazione della normativa (rispetto a quanto previsto dal Codice della Privacy) e stabilisce, innanzitutto, che sono tenuti a rispettarne e ad applicarne le disposizioni i soggetti stabiliti nel territorio europeo, indipendentemente dal fatto che le relative attività di trattamento dei dati personali siano poi effettuate all’interno dell’Unione Europea. Occorre tenere presente, peraltro, che, sempre nell’ottica di prevenire, per quanto possibile, elusioni della regolamentazione, con il termine “stabilimento”, la disciplina europea si riferisce all’esistenza di un “effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile” (Considerando n. 22). Per evitare di adeguarsi al GDPR, quindi, le aziende non potranno giustificarsi adducendo la qualifica di mere filiali o di semplici succursali, perché quello a cui si dovrà fare attenzione, a prescindere dalla forma giuridica delle stesse, sarà l’attività concretamente esercitata presso la singola sede.
Come vedremo meglio in seguito, peraltro, uno dei tratti caratteristici del GDPR risiede proprio nel diverso approccio che ciascun soggetto coinvolto in attività di trattamento di dati personali dovrebbe assumere nell’affacciarsi alle nuove regole. Il GDPR richiede, infatti, un atteggiamento proattivo da parte dei suoi destinatari in grado di modellarne la disciplina sulle singole e diverse caratteristiche di ciascun contesto di riferimento. Si vuole in tal modo evitare di imporre a priori regole eccessivamente astratte e lontane da chi in concreto si trova ad effettuare attività che coinvolgono dati personali, per introdurre, attraverso valutazioni svolte caso per caso, una disciplina di più immediata comprensione e che possa adattarsi alle esigenze di ciascuna realtà imprenditoriale. Obiettivo finale, anche in questo caso, è quello di garantire un’effettiva e completa applicazione della normativa per assicurare una tutela reale ed efficace dei dati personali.
Le regole previste dal GDPR devono essere rispettate da titolari e responsabili del trattamento che operano a livello extraeuropeo nel caso in cui: (1) i dati da essi trattati riguardano soggetti che si trovano nell’ambito dell’Unione e (2) “le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione” (art. 3, par. 2, GDPR). Per quanto riguarda le attività di cui al punto (1), per valutare la rilevanza delle regole del GDPR bisognerà verificare se il titolare del trattamento intende fornire i propri servizi ad interessati che si trovano negli Stati membri (e, si noti bene, è sufficiente che le attività si rivolgano anche ad un solo Stato europeo). Nell’ipotesi del punto (2), invece, occorre verificare se le persone cui i dati personali trattati si riferiscono vengano tracciate su internet, ad esempio, attraverso attività di profilazione volte ad analizzarne preferenze e comportamenti. Il GDPR allarga così i confini di applicazione della normativa rispetto a quanto previsto dal Codice della Privacy. Quest’ultimo, infatti, fa riferimento al caso di trattamenti effettuati da soggetti stabiliti in territori extra europei, ma soltanto qualora siano impiegati “strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea” (art. 5, co. 2, d.lgs. 196/2003): limite che, come abbiamo visto, viene meno con l’entrata in vigore del GDPR.
Si può quindi affermare che, dal punto di vista dell’ambito territoriale e soggettivo di applicazione, il Regolamento supera i confini europei: sono, infatti, sottoposte alle regole in esso contenute anche le aziende situate fuori dall’Unione Europea nei casi in cui le stesse offrano servizi e prodotti a persone fisiche che si trovano nel territorio europeo ovvero qualora svolgano attività di monitoraggio del comportamento di soggetti localizzati nell’UE. Al ricorrere di tali condizioni, dunque, tutte le imprese dovranno rispettare la disciplina prevista dal Regolamento, a prescindere dal luogo in cui sono stabilite e indipendentemente da dove siano situati gli strumenti dalle stesse utilizzati per realizzare i trattamenti (art. 3 GDPR).
