Scopo del GDPR è quello di “assicurare un livello coerente di protezione delle persone fisiche in tutta l'Unione” in materia di dati personali (preambolo, 13° considerando). Tuttavia, se il Regolamento europeo si limita a stabilire che ai principi espressi debbano conformarsi tutti gli Stati membri dell'Unione, definendo il GDPR applicabile “all'interno dell'Unione”, “nell'Unione”, “nel territorio dell'Unione”, non si può affermare che la portata del GDPR si limiti agli Stati membri dell'UE, né che operi in senso prettamente geografico.
L'obiettivo dell'art. 3 (ambito di applicazione territoriale) è quello di posizionare il GDPR “nel sistema internazionale, andando a delineare l'ambito di applicazione del Regolamento in senso presumibilmente spaziale”1. La presumibilità sta nel fatto che più che un vero e proprio riferimento geografico, il GDPR delinea uno spazio ideale in cui devono convergere uno o più criteri affinché possa garantirsi l'applicabilità dei suoi principi:
Criterio di stabilimento2, art 3 para. 1;
Criterio relativo all'offerta di beni o servizi agli interessati, art 3 para. 2, lettera a;
Criterio relativo al controllo del comportamento degli interessati , art. 3 para. 2, lettera b.
Alla portata territoriale si aggiunge la portata extraterritoriale del medesimo3, che a prima vista potrebbe sembrar delineare uno spazio di applicabilità teoricamente infinito. La legislazione UE in materia di protezione dei dati posa gran parte della propria legittimità sui diritti fondamentali, con particolare riferimento all'art. 8, para. 1, della Carta dei diritti fondamentali dell'Unione europea (CFR) e all'art. 16, para. 1, del trattato sul funzionamento dell'Unione europea (TFUE), i quali – così come definiti dal GDPR non a caso nel considerando 1 – “stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”. Tale premessa lega risolutamente il GDPR ai diritti fondamentali, facendo sì che “l'ammissibilità dell'extraterritorialità nella protezione dei dati dipende in gran parte dalla portata extraterritoriale degli strumenti dell'UE sui diritti fondamentali”4.
Non da meno vale la rilevanza della convenzione del Consiglio d'Europa, del 28 gennaio 1981 (Convenzione 108, modificata nel 2018), a cui il GDPR fa esplicito riferimento, quando prevede che l’adesione alla Convenzione 108 di un paese terzo dovrebbe essere tenuta da conto nella valutazione della conformità di tale paese ai principi UE sulla protezione dei dati personali (105° considerando), allargando dunque – più o meno indirettamente – la portata territoriale del GDPR.
Dunque, se già di per sé la Convenzione 108 esercita un impatto sull'art. 3 GDPR5 estendendone la portata territoriale, assume rilevanza extraterritoriale lì dove delinea il proprio ambito di applicazione: garantire il diritto di ogni individuo, qualunque sia la sua nazionalità o residenza, alla protezione dei propri dati personali (artt. 1 e 3, Convenzione 108). Principio che tra l'altro è espresso in più occasioni dallo stesso GDPR nei suoi considerando (si vedano i considerando 2 e 14).
Dacché, come si è detto, il GDPR tutela le persone fisiche nell'Unione, ma è allo stesso tempo privo di riferimenti temporali inerenti la durata della permanenza delle stesse nell'Unione6, si renderebbe teoricamente possibile l'applicabilità del GDPR nei confronti di un cittadino straniero anche alla luce di una sua presenza fisica solo temporanea. Nelle linee guida del Comitato europeo per la protezione dei dati si legge che: “Il requisito secondo cui l’interessato deve trovarsi nell’Unione va valutato nel momento in cui avviene la pertinente attività che ne innesca l’applicazione, vale a dire nel momento dell’offerta di beni o della prestazione di servizi o nel momento in cui viene monitorato il comportamento, indipendentemente dalla durata dell’offerta o del monitoraggio effettuato”7, sempre, comunque, che tale monitoraggio non sia avvenuto “inavvertitamente o fortuitamente”, ad opera di un'azienda straniera che non rivolge i propri servizi al mercato europeo8.
Al contrario, nel caso in cui una azienda straniera rivolgesse i propri servizi in UE, sarebbe tenuta ad applicare le disposizioni del GDPR a quel suo concittadino, e per tutto il tempo in cui questo si trovi in UE, ad esempio per motivi di vacanza. In questo senso, tenuto conto di quanto detto fino ad ora, potrebbe evidenziarsi la criticità che vede il GDPR legittimare gran parte di se stesso sulla base di un diritto fondamentale che, all'atto pratico, riconosce a intermittenza, cioè un diritto che, in conformità alla sua natura universale, pone in capo anche ai cittadini stranieri, a meno che “il monitoraggio del loro comportamento” (ex art. 3 para. 2 lettera b) non avvenga a specifiche condizioni, “inavvertitamente o fortuitamente”.
Pertanto all'ampia portata teorica dell'art. 3 si contrappone una portata pratica, la quale indubbiamente effettua un forte ridimensionamento della prima, in particolar modo quando l'art. 3 viene applicato alla lettera. Si prenda a esempio un caso posto all'attenzione dell'autorità di controllo francese (CNIL), e che vedeva una società extracomunitaria archiviare e condividere i numeri di telefono, anche di cittadini UE, dei quali era entrata in possesso tramite la scansione della rubrica telefonica di utenti terzi (cioè utenti che avevano acconsentito a condividere la propria rubrica telefonica con la società, concedendo pertanto a questa la facoltà di entrare in possesso di numeri di telefono di persone completamente estranee alla vicenda). In merito, con decisione del 20 dicembre 2022, il comitato ristretto della CNIL stabiliva l'inapplicabilità del GDPR sulla questione, segnalando, tra le altre cose, l'inapplicabilità dello stesso ai sensi dell'art. 3 para. 2 lettera a, in quanto gli interessati del trattamento dati (i terzi e le persone estranee) non erano i medesimi fruitori del servizio reso (v. Territorialità del GDPR all'esame della CNIL. Un caso inerente l'art. 3).
Se l'assenza di precisi vincoli spaziali e temporali inerenti l'ambito territoriale di applicazione del GDPR9 potrebbe non solo conciliarsi a quella tendenza globale volta a “estendere il campo di applicazione delle leggi sulla protezione dei dati per farle riflettere la natura senza confini di internet”10, ma anche a quella natura universale e permanente dei diritti fondamentali tramite cui si legittima, rimane da vedere se queste assenze possano far insorgere interpretazioni divergenti e, di rimando, generare repentini cambi di rotta nella applicabilità dei criteri GDPR. A quel punto ne risentirebbe anche la portata extraterritoriale degli strumenti UE inerenti i diritti fondamentali.
1 Dan Jerker B Svantesson, ‘Article 3 Territorial Scope’ in Christopher Kuner e altri (eds), The EU General Data Protection Regulation (GDPR): A Commentary (Oxford University Press 2020) <https://doi.org/10.1093/oso/9780198826491.003.0005> accesso 4 febbraio 2023.
2 Il GDPR manca di una definizione di “stabilimento”, tuttavia al considerando 22 chiarisce che “Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica”.
3 La distinzione tra portata e impatto extraterritoriale è ritenuta obsoleta da diversi autori. Tale distinzione è stata utilizzata nel testo esclusivamente per questioni di brevità e per facilitare la comprensione dei concetti.
4 Cfr. Christopher Kuner, ‘Extraterritoriality and Regulation of International Data Transfers in EU Data Protection Law’ (2015) 5 International Data Privacy Law 235 <https://doi.org/10.1093/idpl/ipv019> accesso 4 febbraio 2023.
5 V. nota 1
6 Si veda sulla questione, Claes G. Granmar, ‘Global Applicability of the GDPR in Context’ (2021) 11 International Data Privacy Law 225 <https://doi.org/10.1093/idpl/ipab012> accesso 4 febbraio 2023.
7 Linee-guida 3/2018 sull’ambito di applicazione territoriale del RGPD (articolo 3), Versione 2.1 del 12 novembre 2019, disponibile al link (qui nella sua versione in italiano): https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_it [accesso 4 febbraio 2023]
8 Le Linee-guida 3/2018 (v. nota 7) propongono l'esempio nr. 10: “Un cittadino statunitense si reca in vacanza in Europa. Durante il suo soggiorno scarica e utilizza un’app di notizie offerta da un’impresa degli Stati Uniti. L’app è indirizzata esclusivamente al mercato statunitense, elemento che emerge dalle condizioni d’uso dell’applicazione e dall’indicazione del dollaro USA come unica valuta disponibile per il pagamento. La raccolta dei dati personali del turista statunitense effettuata da parte dell’impresa americana attraverso l’app non è soggetta al RGPD.”
9 V. nota 6.
10 Adèle Azzi, ‘The Challenges Faced by the Extraterritorial Scope of the General Data Protection Regulation’ (2018) 9 JIPITEC <https://www.jipitec.eu/issues/jipitec-9-2-2018/4723> accesso 4 febbraio 2023.
Link del post: