Designare un rappresentante sul territorio europeo per rispettare il GDPR. Quando è obbligatorio
Secondo quanto disposto dal considerando n. 80 del GDPR (Regolamento UE n. 679/2016), nel caso in cui un titolare del trattamento non sia stabilito nell’Unione, ma tratti dati personali di interessati che si trovano nell’Unione e le attività di trattamento sono connesse all’offerta di beni o alla prestazione di servizi a tali interessati in Europa, indipendentemente dall’obbligatorietà di un pagamento degli interessati o al controllo del loro comportamento, nella misura in cui tale comportamento ha luogo all’interno dell’Unione, deve individuare un rappresentante in Europa (cfr. art. 27 del GDPR). Secondo il principio dell’extraterritorialità, infatti, le disposizioni del Regolamento si applicano indipendentemente dal luogo in cui è situata l’organizzazione, se questa tratta dati personali di cittadini UE. È anche importante ricordare che il GDPR si rivolge sia ai titolari del trattamento che ai responsabili del trattamento di dati personali, come ad esempio ai fornitori di servizi cloud, reti VPN, fornitori di beni immateriali, quali musica, video, immagini vettoriali, software. Una società senza stabile organizzazione sul territorio europeo che intende offrire prodotti, beni o servizi (anche gratuiti) a soggetti direttamente o indirettamente identificabili residenti sul territorio europeo è tenuta a soddisfare quanto richiesto dal GDPR. Lo stesso vale per le società non UE che monitorano il comportamento dei cittadini europei (ad es. mediante l’accesso ad un sito web aperto all’Europa), nella misura in cui il loro comportamento si svolge sul territorio dell’UE. Il monitoraggio include il controllo del comportamento online degli individui con lo scopo di profilazione, utilizzando cioè i dati per assumere decisioni su questi individui o sulle loro preferenze, su loro abitudini e comportamenti personali.
A tal fine, dunque, perché una società straniera possa operare sul territorio dell’Unione nel rispetto del GDPR deve provvedere alla designazione di un rappresentante, ma non sempre tale nomina è obbligatoria. La designazione del rappresentante è infatti esclusa quando:
- i dati personali vengono elaborati solo occasionalmente,
- il trattamento non include il trattamento su larga scala di categorie speciali di dati o dati giudiziari o dati relativi a condanne penali;
- è improbabile che il trattamento comporti un rischio per i diritti e le libertà degli interessati.
Per comprendere quando, ricorrendo i presupposti innanzi delineati specificamente riferiti alle caratteristiche del trattamento, sia obbligatoria la designazione di un rappresentante, è necessario chiarire il concetto di stabilimento sul territorio dell’Unione, in quanto solo in assenza di stabilimento in uno degli Stati dell’Unione Europea, il titolare/responsabile straniero dovrà provvedere a determinare un ufficio di rappresentanza. Sul punto viene in aiuto il considerando n. 22 del GDPR, secondo cui lo stabilimento implica l’effettivo e concreto svolgimento di attività nell’ambito di un’organizzazione stabile, ovvero il luogo in cui sono condotte le principali attività di trattamento dei dati sul territorio dell’Unione; la forma giuridica specificamente adottata, sia essa una succursale o una filiale dotata di personalità giuridica, ai fini dell’individuazione dello stabilimento per il GDPR, non è rilevante. Se dunque una società straniera, ha una sede di affari in uno degli Stati dell’Unione Europea, non è necessario che essa nomini un rappresentante in UE, in quanto quella stabile organizzazione fungerà da anello di congiunzione tra l’Autorità di controllo e gli interessati sul territorio; se però la società straniera si rivolge (o ha intenzione di rivolgersi) a cittadini dell’Unione solo virtualmente, ad esempio, solo mediante un sito web, un’app o una piattaforma digitale mediante cui viene monitorato ad esempio il comportamento online di cittadini dell’UE, ma nulla di fisico è presente sul territorio europeo o anche nel caso in cui la presenza fisica sia ad esempio un mero deposito ai fini della sola consegna o esposizione di merci, la casa madre straniera dovrà provvedere ad individuare un ufficio di rappresentanza in loco, sempre che non ci si trovi nelle situazioni di cui all’art. 27 per cui è prevista l’esclusione dalla individuazione del rappresentante.
Un caso pratico
Interessante è comprendere cosa accadrà concretamente in alcune situazioni del mercato della rete: poniamo il caso che la casa madre sia una società estera e che svolga operazioni sul territorio italiano tramite dipendenti che si occupano di gestire le operazioni di web marketing o le attività di sales da remoto per conto della società, se la società ha individuato solo un ufficio di rappresentanza (comunque obbligatorio secondo la normativa fiscale), in quanto non intende acquisire soggettività giuridica sul territorio europeo (cosa che invece accade con una stabile organizzazione), tale soggetto potrebbe ricoprire eventualmente anche l’incarico di rappresentante ai fini della normativa europea sui dati personali poichè la presenza sul territorio europeo della società straniera, in relazione alla normativa privacy potrebbe concretizzarsi già in quell’ufficio, in quanto non sussistono norme che lo vietano; ad ogni modo, secondo la definizione contenuta nell’art. 4 punto 17 del GDPR tale ruolo può essere ricoperto anche da una persona fisica, quindi, ad esempio, astrattamente, lo stesso dipendente potrebbe fungere da rappresentante. L’art. 4 punto 17 del GDPR, infatti, chiarisce che un rappresentante può essere una persona fisica o giuridica stabilita nell’Unione che ha la funzione di rappresentare il titolare/responsabile del trattamento che lo ha designato in relazione agli obblighi previsti dalle norme del regolamento.
Come deve essere designato il rappresentante secondo il GDPR?
Il rappresentante deve essere espressamente designato mediante mandato scritto del titolare del trattamento o del responsabile del trattamento che deve prevedere espressamente la possibilità per questi di agire per conto di questi ultimi con riguardo agli obblighi che ad essi derivano dal regolamento n. 679. La designazione di tale rappresentante non incide sulla responsabilità generale che resta in capo al titolare del trattamento o del responsabile del trattamento ai sensi del regolamento. Il rappresentante è tenuto a svolgere i suoi compiti nel rispetto del mandato conferitogli, anche per quanto riguarda la cooperazione con le autorità di controllo competenti per qualsiasi misura adottata al fine di garantire il rispetto del regolamento; egli infatti è incaricato dal titolare del trattamento o dal responsabile del trattamento a fungere da interlocutore, in sua aggiunta o in sua sostituzione, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento. Inoltre, il rappresentante dovrebbe essere oggetto di misure attuative in caso di inadempienza da parte del titolare del trattamento o del responsabile del trattamento che lo ha designato, a tal proposito, è opportuno prevedere sanzioni disciplinari nel contratto di mandato.
L’identità e i dati di contatto del rappresentante, laddove ricorrano i presupposti per la sua nomina, devono essere resi noti all’interessato, costituendo tali dati informazioni da inserire espressamente nell’informativa ex art. 13 GDPR.
Sono fatte salve, in ogni caso, le azioni legali che potrebbero essere promosse contro lo stesso titolare del trattamento o responsabile del trattamento.
Di cosa si occupa nel concreto il rappresentante UE per conto di un’organizzazione estera in materia di trattamento dati personali?
Il rappresentante dovrà ad esempio rispondere per conto del titolare/responsabile del trattamento alle richieste degli interessati, pertanto, sarebbe opportuno scegliere un soggetto che sia in grado di interloquire in diverse lingue, inoltre dovrà collaborare con le diverse autorità di vigilanza e si dovrà occupare della conservazione dei documenti relativi alle attività di trattamento svolte, anche qualora siano richiesti in sede di ispezione.