Territorialità del GDPR all'esame della CNIL. Un caso inerente l'art. 3

Il 20 dicembre 2022 il comitato ristretto della Commission nationale de l'informatique et des libertés (CNIL) archiviava il procedimento nei confronti di una società extracomunitaria (da adesso in poi “la società”), ritenendo che il GDPR non si applicasse al caso¹.

   La società in questione, senza stabilimento nell'UE, commercializzava un'estensione per i browser utilizzati da computer (da adesso in poi “estensione L”) che consentiva ai suoi utenti di ottenere i dettagli di contatto professionali (numero di telefono e indirizzo e-mail) di un interessato che aveva aperto un profilo su alcune tra le piattaforme social. Gli utenti dell'estensione L dovevano quindi visionare il profilo dell'interessato per ottenere i dati di contatto. La società ha dichiarato che lo scopo di questa estensione era prevenire le frodi online. Oltre a recuperare le informazioni di contatto, l'estensione L verificava se i profili appartenessero a persone reali e se queste persone esercitassero effettivamente la professione descritta nei loro profili.

   La società aveva raccolto i dati per questo database da altre tre applicazioni mobile che offrivano un servizio di "gestione contatti" e che sono state ritirate dal mercato francese ad agosto 2022. Queste app erano state pubblicate online da aziende interamente controllate dalla società in questione. Quando gli utenti installavano una di queste app sul proprio smartphone, i dati delle loro rubriche venivano inviati – previo consenso degli utenti stessi – al database della società. A quel punto con processo automatizzato la società filtrava i contatti telefonici, raccogliendo solo quelli "professionali", i quali venivano in ultimo archiviati per il funzionamento dell'estensione L.

   Si noti che gli interessati (nel senso in cui questo termine sarà utilizzato di seguito), i cui dati sono consultati dai clienti della società, non sono né utenti dell'estensione L, né utenti delle applicazioni sviluppate dalle filiali della società medesima. La loro presenza nel database dell'estensione L è spiegata unicamente dal fatto che i loro dati apparivano nella rubrica di uno o più dei loro contatti (amici, familiari, colleghi, etc.) e i quali avevano scaricato le app ideate dalle filiali della società in questione.

   Esaminato il caso posto all'attenzione dal relatore, il comitato ristretto della CNIL ha stabilito che nel caso di specie il GDPR non trova applicabilitಠai sensi dell'art. 3. Infatti, poiché la società non ha stabilimento in UE, il collegio ristretto ha disposto che:

• a essa non si applica il criterio di stabilimento previsto dal para. 1 dell'art. 3 GDPR.

   Inoltre, essendo che gli interessati del trattamento dati dell'estensione L, non sono i medesimi fruitori del servizio offerto dalla estensione medesima, il collegio ristretto ha stabilito che:

• l'estensione non è correlata a un'offerta di beni o servizi agli interessati. Non trova pertanto applicazione il criterio relativo all'offerta di beni o servizi agli interessati previsto dal para. 2, lettera a dell'art. 3 GDPR.

   Infine, essendo che la creazione del database da parte della società si è basata esclusivamente sulla riconciliazione dei dati di contatto professionali (telefono, indirizzo e-mail) con l'identità delle persone i cui profili sono stati visitati sulle piattaforme social con lo scopo di verificarne la veridicità, il collegio ha stabilito che:

• non è stato accertato che gli interessati siano effettivamente soggetti a monitoraggio comportamentale da parte della società, la quale non utilizza tecniche di trattamento dei dati personali che consistono nella profilazione di una persona fisica. Non è applicabile alla società neanche il criterio relativo al controllo del comportamento degli interessati , previsto dal para. 2, lettera b dell'art. 3 GDPR.

   Sulla base di queste considerazioni il comitato ristretto della CNIL ha stabilito l'inapplicabilità del GDPR sul caso e l'impossibilità di emettere una sanzione.