Regolamento europeo 2016/679: quando si applica?

Regolamento europeo 2016/679: quando si applica?

Il Regolamento europeo in materia di protezione dei dati personali (consultabile qui), in vigore dal 24 maggio 2016, troverà concreta applicazione dal 25 maggio 2018, data in cui si dovrà già essere allineati con la nuova disciplina.

Ma, prima ancora di analizzare i principi e gli obblighi prescritti dal nuovo testo di riferimento e comprendere quali siano gli elementi di novità rispetto all’attuale disciplina che il Regolamento europeo andrà a sostituire, occorre chiedersi chi sia concretamente tenuto a rispettare la nuova normativa in materia di protezione dei dati personali e in quali casi la stessa trovi applicazione.

Ambito di applicazione materiale

In base a quanto stabilito dall’art. 2 del Regolamento UE 2016/679, lo stesso si applica al trattamento interamente o parzialmente automatizzato di dati personali e a al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Perché il Regolamento europeo trovi applicazione occorre che vi sia innanzi tutto un trattamento di dati personali.

Ma cosa si intende per “trattamento” e quando i dati sono qualificabili come “dati personali”?

Ad esempio, la consultazione degli indirizzi email registrati in una mailing list o l’archiviazione dell’anagrafica di un cliente possono essere considerate operazioni di trattamento di dati personali?

Occorre considerare, a tal fine, le definizioni contenute nell’art. 4 del Regolamento.

Ebbene, senza alcuna novità rispetto a quanto previsto nel nostro Codice privacy (D. Lgs. 196/2003), nel Regolamento europeo per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Quindi, ad esempio, sono dati personali: l’indirizzo di posta elettronica mariorossi@rossi.it, i dati anagrafici del Sig. Rossi, il suo numero di telefono …

Quali sono le operazioni che comportano il trattamento di tali informazioni? Lo è solo la raccolta e l’archiviazione oppure anche la semplice consultazione della lista di indirizzi email può costituire un trattamento?

“Trattamento”, secondo quanto stabilito dall’art. 4 del nuovo testo di riferimento, è “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Come emerge chiaramente dalle numerose operazioni richiamate nella norma a titolo esemplificativo, il concetto di trattamento si estende a tutte quelle attività che implicano una conoscenza di dati personali, effettuate con o senza l’ausilio di processi automatizzati.

Tuttavia – e questo costituisce una novità rispetto a quanto previsto dal Codice privacy – come indicato dal già citato art. 2 del Regolamento UE 2016/679, perché lo stesso trovi applicazione occorre che il trattamento sia automatizzato, in tutto o in parte, oppure che l’eventuale trattamento non automatizzato riguardi dati contenuti o destinati ad essere contenuti in un archivio (da intendersi quale “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”).

I trattamenti effettuati senza l’ausilio di processi automatizzati, quindi, rientrano nell’ambito di applicazione del Regolamento europeo solo se relativi a dati contenuti in archivi oppure se relativi a informazioni destinati a esserlo (indicazione che ovviamente lascio spazio ad una certa valutazione discrezionale).

Ambito di applicazione territoriale

In ordine all’ambito di applicazione territoriale, il Regolamento europeo sulla protezione dei dati personali introduce delle novità rispetto agli attuali criteri utilizzati per definire se un soggetto sia tenuto o meno ad osservare la normativa in materia di privacy.

Per comprendere quale sia l’elemento di novità, occorre richiamare quanto previsto dall’art. 5 del Codice privacy, in base al quale le disposizioni contenute nel nostro testo normativo trovano applicazione nel caso di trattamento di dati personali, anche se detenuti all’estero, effettuato:

  • da chiunque sia stabilito nel territorio dello Stato o in luogo soggetto alla sovranità dello Stato (criterio dello stabilimento)
  • da chiunque sia stabilito nel territorio di un Paese extra UE e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici (criterio dell’ubicazione degli strumenti utilizzati)

Cosa cambia con il Regolamento europeo 2016/679 sotto tale profilo?

Il nuovo testo di riferimento in materia di privacy introduce un’importante novità, in quanto lo stesso trova applicazione, oltre che nel caso di trattamento di dati effettuato da chi è stabilito nell’UE, anche nell’ipotesi di  trattamento di dati personali di interessati che si trovano nell’Unione, effettuato da un titolare o da un responsabile che non è stabilito nell’Unione, quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’UE, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, oppure il monitoraggio del loro comportamento, nella misura in cui tale comportamento ha luogo all’interno dell’Unione (cfr. art. 3 del Regolamento).

Si mantiene dunque il criterio dello stabilimento, per cui la disciplina europa in materia di privacy dovrà essere osservata dall’impresa con stabilimento in Italia o in altro Paese dell’UE, ma si attribuisce rilievo anche al luogo in cui si trovano gli interessati, per cui anche una società con stabilimento all’estero sarà tenuta a rispettare il Regolamento UE qualora il trattamento sia relativo a offerta di beni o servizi a soggetti che siano in Europa oppure riguardi il monitoraggio del loro comportamento.

Ma quando è possibile affermare che un’impresa offra beni o servizi ad interessati che si trovano nell’Unione?

Come indicato nel Regolamento (cfr. considerando 23) “mentre la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell’Unione”.

In ordine al monitoraggio, si precisa nel Regolamento europeo (cfr. considerando 24) che, per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, “è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.

Il fatto che anche le imprese situate fuori dall’UE, se offrono servizi o prodotti a persone che si trovano nel territorio dell’UE o effettuano attività di monitoraggio del loro comportamento nel territorio dell’Unione, debbano operare nel rispetto della disciplina europea amplia certamente l’ambito di sua applicazione e, di conseguenza, estende le garanzie che la nuova regolamentazione assicura agli interessati.

Casi di esclusione

Infine, per completezza, occorre richiamare i casi in cui la nuova disciplina europea non trova applicazione.

Si tratta delle ipotesi espressamente indicate nell’art. 2 comma 2 del Regolamento UE 2016/679 e di seguito riportate:

  • trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione
  • trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza)
  • trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse
  • trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico