Il campo di applicazione territoriale e materiale: le modifiche introdotte dal Regolamento

Ad una prima lettura il Regolamento UE mostra un radicale cambiamento rispetto a quanto contenuto nella Direttiva madre 95/46/CE.

La prima novità, derivante dalla rielaborazione del documento generato dalla Corte di Giustizia Europea sulla base degli approfondimenti svolti dal c.d. “Gruppo di lavoro articolo 29”170 _{, è inserita all’interno del Capo 1 sulle “Disposizioni generali” ed è attinente}

all’estensione territoriale del campo di applicazione della disciplina sulla protezione dei dati personali che comporta l’estensione della protezione dei dati personali a tutti quei soggetti operanti nell’Unione Europea non considerando come elemento fondamentale il luogo in cui viene effettuato il trattamento dei dati.

La nuova norma, infatti, contenuta nell’art.3 del Reg. UE n. 2016/679 estende la tutela della protezione dei dati non solo ad ogni trattamento che ha ad oggetto dati personali, e a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio dell’Unione, ma anche in generale a quei titolari non stabiliti nell’Unione che però offrono beni e servizi a persone residenti nell’Unione monitorandone il comportamento.

In tal modo la sua applicazione non si limita alle sole aziende residenti in Europa ma tutela tutti gli interessati che risiedono nel territorio europeo indipendentemente da dove venga attuato il trattamento dei loro dati171_.

Al fine di garantire una maggiore protezione dei dati e dell’identità personali, messe a rischio dal monitoraggio continuo dei comportamenti, il legislatore europeo ha ritenuto necessario introdurre nuove definizioni in tema di “stabilimento principale” del titolare e del responsabile del trattamento172 _{in concomitanza con la previsione di norme vincolanti}

d’impresa (Binding Corporate Rules) volte a regolamentare le politiche di protezione e di trasferimento dei dati personali realizzate dalle imprese.

Ciò denota il carattere extraterritoriale dell’efficacia delle norme del regolamento che ne consente l’applicazione quando i dati oggetto del trattamento appartengono ad un soggetto

170 _{Si tratta di un organo con funzioni consultive composto dai rappresentanti delle Autorità Nazionali di}

controllo di ciascun Stato membro, da un rappresentante dell’Autorità per le istituzioni e organismi comunitari e da un rappresentante della Commissione UE.

171 _{Rif. a quanto sostenuto da SAETTA B. nel documento Regolamento generale per la protezione dei dati}

recuperabile su www.protezionedatipersonali.it.

172 _{Il trattamento dei dati personali degli interessati che si trovano nell’Unione ad opera di un responsabile o di}

un incaricato del trattamento non stabilito nell’UE deve essere soggetto al Regolamento quando si fa riferimento al controllo del loro comportamento inteso all’interno dell’Unione.

65 che si trova all’interno del territorio europeo, ovvero se il titolare o il responsabile di tale trattamento è stabilito nell’Unione anche se il trattamento viene effettuato all’esterno. Un ulteriore profonda modifica, sempre contenuta nel Capo 1 del regolamento, riguarda l’estensione del campo di applicazione materiale che viene evidenziato all’interno dell’assetto delle responsabilità delineato dal regolamento nell’art.2.173

Secondo tale impostazione il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi; mentre, invece, non si applica nel caso in cui i trattamenti effettuati abbiano ad oggetto attività che non rientrano nel campo di applicazione del diritto europeo, quando si fa riferimento ad attività di politica estera e sicurezza174_{effettuata dagli Stati membri, se lo scopo riguarda l’accertamento da parte delle}

Autorità competenti di reati o sanzioni (Direttiva 2016/680) e se i trattamenti vengono effettuati da una persona fisica per lo svolgimento di attività esclusivamente a carattere personale o domestico.

La nozione di “dato personale” nel Regolamento Europeo risulta soggetta a tutela solo nel caso si riferisca alle persone fisiche, enfatizzando una riduzione di protezione rispetto alle previsioni contenute nella vecchia direttiva madre che consentiva ai singoli stati di introdurre una normativa nazionale volta ad estenderla anche alle persone giuridiche specificando le nozioni di dato personale sensibile o giudiziario ora, invece, definiti in maniera generale. Quindi, in base a quanto appena detto la regolamentazione non viene più estesa alle persone giuridiche ma si fa riferimento alle sole persone fisiche.

Nel Capo 1 del regolamento, inoltre, all’interno dell’art. 4 si introducono le principali definizione in materia di trattamento dei dati personali.

Tralasciando le definizioni di dato personale e trattamento già definite nel paragrafo precedente, nella parte iniziale del regolamento si rimarca non solo la posizione di garanzia del titolare del trattamento (controller), definito dall’art.4.7 del reg.UE come la “persona

fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, a cui sono

affidate le principali responsabilità, ma si introducono ulteriori nuove figure espressione di nuovi ruoli e funzioni organizzative.

173 _{Si veda il Regolamento generale sulla protezione dei dati reperibile su www.cyberlaw.it} 174 _{Rif. al campo di applicazione del titolo V, capo 2, del Trattato dell’UE.}

66 Innanzitutto osserviamo che la presenza della figura del responsabile del trattamento (Provider), identificato dall’art.4.8 come “la persona fisica o giuridica, l’autorità pubblica

o altro organismo che tratta dati personali per conto del titolare del trattamento”, diviene

obbligatoria e si eliminano i riferimenti specifici all’Incaricato del trattamento prima presenti nel d.lgs. n.196/2003, fermo restando la possibilità da parte del titolare di nominare terzi che operino direttamente sotto la sua responsabilità o di quella del responsabile.

Si tratta di persone autorizzate al trattamento dei dati personali per conto del titolare che, a causa della mancata specificazione di persona fisica all’interno della definizione di soggetto terzo presente nel regolamento, possono essere sia persone fisiche che giuridiche in rottura con quanto precedentemente affermato.

L’altra novità rispetto alla precedente direttiva riguarda l’introduzione di una figura completamente nuova ed obbligatoria rappresentata dal Responsabile della protezione dei dati (Data Protection Officer) che in base all’art.37 del Regolamento viene nominato direttamente dal Titolare per occuparsi della gestione della protezione dei dati personali nelle situazioni di particolare rischio e per questo deve essere in possesso di adeguate qualità professionali e di un elevata conoscenza della normativa in materia di protezione dei dati.175

La sua designazione è obbligatoria per i trattamenti svolti da autorità e organismi pubblici e in tutte quelle aziende ove i trattamenti presentino specifici rischi come ad esempio nelle aziende dove sia richiesto un monitoraggio regolare e sistematico degli “interessati”, su larga scala, e in quelle che trattano i c.d. “dati sensibili”176_.

Il DPO può essere o un dipendente della società titolare del trattamento o assolvere i propri compiti in base ad un contratto di servizi, e sarà obbligo di ciascun azienda rendere noti i dati del proprio DPO e comunicarli al “Garante per la protezione dei dati personali”.

L’art.38 comma 3 sottolinea come il responsabile della protezione dei dati abbia all’interno dell’azienda una posizione di rilievo visto che riferirà direttamente ai vertici aziendali senza intermediazione e con maggiore autonomia rispetto a tutti gli altri dirigenti.

Si occuperà, dunque, di informare e/o consigliare il titolare o responsabile del trattamento in merito agli obblighi definiti dal regolamento, verificare l’attuazione ed applicazione della normativa, fornire valutazioni di impatto sulla protezione dei dati e sorvegliare i relativi

175 _{OGRISEG C., Il Reg. UE 2016/679 e la protezione dei dati personali nelle dinamiche giuslavoristiche, in}

Labour e LawIssues, Vol.2, n.2, 2016,39-40

176 _{Rif. all’articolo “La privacy europea, il regolamento UE 2016/679”, reperibile su}

67 adempimenti, informare gli interessati circa il sorgere di eventuali problematiche e comunicare direttamente col Garante.

Egli deve essere tempestivamente e adeguatamente informato e coinvolto in tutte le questioni che riguardano la protezione dei dati e deve disporre delle risorse necessarie per far fronte alle sue responsabilità, la cui dettagliata elencazione è contenuta nell’art.39, abbandonando lo schema dirigistico della direttiva madre che comportava interventi specifici del Garante in caso di trattamenti a rischio.177

Con il nuovo regolamento si passa ad un sistema basato su analisi e valutazioni preventive sui rischi per la sicurezza dei dati oltre che ad accordi e procedure organizzative di cui sono a conoscenza anche gli interessati circa le modalità di esercizio dei diritti.178

In conclusione si nota come la nuova normativa consente la protezione della riservatezza dei dipendenti che lavorano o vivono nell’Unione, anche nel caso in cui i titolari o i responsabili del trattamento non hanno sede legale, né secondarie, nel territorio europeo179_{, permettendo}

l’applicazione della disciplina della Privacy qualora il trattamento sia svolto da società consociate e avente sede fuori dall’UE.

177 _{SARLO A., Il regolamento UE 2016/679 sul trattamento e circolazione dei dati personali:una sintetica}

ricognizione, reperibile su www.filodiritto.it

178 _{Si veda il paragrafo 4 pag.72}

179 _{Si esclude il trasferimento dei dati personali dall’Unione agli Stati Uniti che invece rientrano nell’accordo}

68

3. Il rafforzamento (incremento) del diritto alla protezione dei dati nel Regolamento