GDPR: in arrivo le Linee Guida per l’applicabilità

A quasi un anno dall’entrata in vigore del General Data Protection Regulation persistono ancora incertezze e dubbi sui campi di applicabilità e sui criteri di identificazione delle aziende non europee interessate dalla normativa. Le nuove Linee Guida portano un po’ di chiarezza in materia

L’EDPB – European Data Protection Board – ha redatto le Linee Guida 3/2018 che chiariscono molteplici aspetti riguardanti i campi di applicabilità del GDPR, il regolamento europeo sul trattamento dei dati personali che tra pochi mesi compirà un anno di età. Il documento, aperto alla consultazione pubblica fino al 18 gennaio, si rivolge in particolare ai titolari e ai responsabili del trattamento, fornendo loro opportuni chiarimenti su alcune delle tematiche più critiche e oscure del GDPR. Tra i diversi punti affrontati compare anche il tema della portata territoriale e dell’obbligatorietà di applicazione della normativa per alcune aziende extra-europee.

Per definire in modo chiaro e, per quanto possibile, univoco i campi di applicabilità della Regolamento Europeo 679/2018, l’EDPB riconosce due principali criteri di identificazione: Establishment Criterion e Targeting Criterion, parametri grazie ai quali dovrebbe risultare più semplice per i depositari del trattamento capire se le attività svolte dalla propria società rientrino o meno nel raggio di applicabilità del GDPR.

Vediamo nel dettaglio quali sono le caratteristiche previste dai criteri appena citati:

Establishment Criterion. Il GDPR si applica al trattamento dei dati personali per attività svolte in uno stabilimento situato nell’Unione Europea. Tale indicazione deve essere integrata primariamente dalla definizione del termine “stabilimento”, utilizzato all’interno di questa normativa per indicare “l’effettivo svolgimento di attività nel quadro di un’organizzazione stabile”. Il Regolamento si applica quindi indipendentemente dal fatto che l’attività di trattamento dati avvenga fuori dai confini dell’UE, qualora lo stabilimento a cui fanno riferimento tali dati risulti sito in Europa.

Targeting Criterion. Il GDPR si applica al trattamento, da parte di un titolare o responsabile extra-europeo, dei dati personali di soggetti che si trovano fisicamente sul territorio dell’Unione Europea quando le attività di trattamento riguardano l’offerta di beni e servizi o il monitoraggio dei comportamenti.

Se un’azienda, dunque, effettua un trattamento di dati personali riferibili a persone fisiche che si trovano stabilmente nell’Unione, deve obbligatoriamente applicare le regole contenute nel GDPR, pur non avendo essa una sede sul territorio di giurisdizione della normativa.

La composizione del documento contenente le Linee Guida 3/2018 getta una luce nuova su diversi punti del Regolamento, ma lascia aperte ancora alcune incertezze data l’aleatorietà della disciplina e la mancanza di precedenti giurisprudenziali dalla portata così ampia come quella prevista dal GDPR. L’autorità di vigilanza deve perciò effettuare numerosi controlli al fine di identificare le società soggette al Regolamento e dirimere i contenziosi, conducendo accurate analisi sulla natura dei dati trattati nei singoli casi di discussione.

Viste le persistenti incertezze nell’applicazione delle indicazioni contenute nel General Data Protection Regulation e considerate le continue evoluzioni della normativa, la società di consulenza e formazione Johnson & Bartlett offre ai propri clienti un servizio completo, accurato e affidabile per l’implementazione, il mantenimento e l’aggiornamento di un sistema di gestione dei dati personali conforme al Regolamento Europeo.

GDPR: in arrivo le Linee Guida per l’applicabilità

BLOCKCHAIN E GDPR: OPPORTUNITÀ E SPUNTI DI RIFLESSIONE

Protezione dati e fattura digitale: un connubio possibile?

L’UE NON MOLLA, SI LAVORA AL REGOLAMENTO E-PRIVACY

Conformità al GDPR: i vantaggi della certificazione ISO 27001

COMMISSIONE EU, ITALIANI PREOCCUPATI PER I PROPRI DATI

-15 GIORNI AL GDPR MA IL DECRETO ITALIANO NON ARRIVA

Articoli simili