Il Comitato Europeo per la Protezione dei Dati (EDPB) attraverso le Linee Guida sull’ambito di applicazione territoriale del GDPR,  ha espressamente statuito per ambasciate e consolati l’assoggettamento alle norme del GDPR anche se ubicate fuori dall’Unione Europea.

La figura del titolare o del responsabile del trattamento è da individuarsi nel singolo Ambasciatore o Console, il quale sarà quindi soggetto alle più rilevanti previsioni del GDPR incluse le norme relative al trasferimento dei dati verso Paesi terzi.

Il Comitato[1] ha  identificato ambasciate, consolati, navi ed aerei tra i luoghi extra-territoriali soggetti alla legge dello Stato, con tutte le dovute conclusioni in tema di protezione dei dati personali.

Inoltre, seguendo lo schema dell’articolo 3 del Regolamento, le Linee Guida chiariscono la portata applicativa del criterio di stabilimento (“establishment criterion”) e del criterio settoriale (“targeting criterion”), confermando, in ultimo, che il GDPR si applicherà indipendentemente dal fatto che il trattamento effettuato nel contesto delle attività di questo stabilimento abbia luogo o meno nell’Unione.

Il Comitato Europeo ha anche confermato che il meccanismo di cooperazione, di cui all’art. 56 Regolamento, si applica solamente a chi è stabilito nell’Unione Europea.

Per cui, se è vero che l’applicazione del GDPR dipenda dalle attività di trattamento, il meccanismo di cooperazione è, invece, riservato solamente a chi è stabilito nell’ambito dell’Unione Europea.

Il Comitato, inoltre, rammenta che titolari e responsabili soggetti al GDPR in relazione alle attività di trattamento devono, altresì, verificare che il trattamento sia in linea con la disciplina settoriale di carattere nazionale, ciò ovviamente da riferirsi ai settori in cui il Regolamento ha permesso ai singoli Stati di implementare tale normativa[2].

Quindi, per determinare se l’art. 3 sia da applicarsi, il Comitato incoraggia un duplice approccio, dovendosi dapprima determinare se e quali soggetti sono nell’Unione[3], poi quali attività riguardino l’offerta di beni o servizi ovvero il monitoraggio[4].

Qualora si applichi l’art. 3 del Reg., si rammenta la necessità di nomina di un rappresentante. In tal caso, le Linee guida forniscono ulteriori orientamenti sul processo di designazione, sugli obblighi di stabilimento e sulle responsabilità del rappresentante nell’Unione.

[1] Parere 8/2010 (WP179 adottato il 16 dicembre 2010).

[2] Tra i tanti, l’articolo 8 in merito al consenso prestato dal minore, l’articolo 9 in merito al trattamento dei dati particolari, l’articolo 23 in merito alle limitazioni.

[3] Pagine 14-16 delle Linee guida, esempi da 8 a 12.

[4] Pagine 16-20 delle Linee guida, esempi da 13 a 20.