Privacy - Regolamento EU 2016/679: ambito applicativo 12 dicembre 2016, a cura di Studio Soccol
Una delle principali novità introdotte dal Regolamento in materia di protezione dei dati delle persone fisiche riguarda l’ambito di applicazione. Il legislatore europeo ha tenuto conto dell’evoluzione tecnologica avvenuta, responsabile di un considerevole aumento del flusso di informazioni che è possibile raccogliere anche in modo automatizzato, e del fatto che tali informazioni possano permettere di risalire ai soggetti persone fisiche, a cui tali informazioni si riferiscono, oltre che di consentire il loro flusso transfrontaliero. Innanzitutto, l’ambito di applicazione è stato modificato dal punto di vista territoriale. Difatti, la Direttiva 95/46/CE, recepita dal nostro ordinamento con il d.lgs. 196/2003, prevedeva che la disciplina in materia di tutela di dati personali trovasse applicazione, per il tramite delle legislazioni nazionali, quando il trattamento di dati personali era effettuato nell’ambito delle attività del Titolare del trattamento, svolte presso uno stabilimento situato all’interno dell’Unione Europea1 1
Art. 5 Oggetto ed ambito di applicazione
Il nuovo Regolamento, invece, supera il principio di stabilimento e chiarisce che esso trova applicazione anche a Titolari e responsabili non stabiliti nel territorio dell’Unione Europea2.
1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali. 3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31. (...) (1). (1) Il comma che così recitava: "3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo - contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice" è stato aggiunto dal D.L. 13 maggio 2011, n. 70, convertito con L. 12 luglio 2011, n. 106 e poi abrogato dall'art. 40, D.L. 6 dicembre 2011, n. 201, convertito con L. 22 dicembre 2011, n. 214. 2
Art. 3 Ambito di applicazione territoriale
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione. 3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
L’ambito di applicazione ha subito un’ulteriore modifica dal punto di vista materiale. Difatti, il Regolamento “si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” (art. 2, comma 1). Diventa quindi di fondamentale importanza definire il concetto di “automatizzazione” nel trattamento dei dati. Comunemente si intende per trattamenti automatizzati quelli eseguiti, ad esempio, mediante personal computers/notebooks, smartphones, apparecchi di videosorveglianza. Per aversi automatizzazione occorre quindi che, in relazione all'esecuzione di una o più operazioni, sia interposto l'utilizzo di un elaboratore/macchina all’intervento inevitabile, a monte o a valle, della componente umana. Per quanto attiene ai trattamenti non automatizzati, essi ricadono nel campo di applicazione del Regolamento soltanto nella misura in cui i dati riguardano o sono finalizzati all'inserimento in banche dati. Sfuggirà alla nuova normativa, pertanto, il semplice appunto effettuato manualmente, di un nome e di un telefono, ove non sia da inserire in rubrica, ovvero l'analoga informazione destinata ad un uso momentaneo e magari isolato – ancorché trattati nell'ambito di una attività professionale, imprenditoriale o pubblica. I concetti chiave nell’ambito di applicazione materiale del Regolamento, sono dunque quelli di “automatizzazione” e di “archivio” o banca di dati. Sono totalmente esclusi dal campo di applicazione del Regolamento i trattamenti di dati: a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione; b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE ; c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, che devono essere oggetto di uno specifico atto dell'Unione (per cui vedasi il considerando n. 19). Nel prossimo focus, tratteremo dei nuovi obblighi e delle responsabilità dei soggetti interessati.