l'analisi

Il rappresentante Gdpr nell’Unione europea, questo sconosciuto: chi è, cosa fa, come si designa

La mancata designazione dei rappresentanti di titolari del trattamento o di responsabili del trattamento non stabiliti nell’UE costituisce una violazione dell’art. 27 del Gdpr. Eppure l’obbligo è stato pressoché ignorato. Approfondiamo i contorni di questa figura

22 Set 2020
Simona Loprete

Legal Affairs Manager & Data Protection Officer


Alla figura dei rappresentanti di titolari del trattamento o di responsabili del trattamento non stabiliti nell’Unione europea, a dispetto della figura del responsabile della protezione dei dati (RPD/DPO), non è stato concesso molto spazio nel Regolamento UE 2016/679 (“GDPR”), e probabilmente, per questa ragione si tende a dimenticare l’obbligo prescritto dal solitario articolo 27 del GDPR la cui inosservanza però costituirebbe una violazione di legge.

Recentemente, un importante contributo è stato offerto dall’adozione delle Linee Guida da parte del Comitato Europeo per la Protezione dei Dati (European Data Protection Board -“EDPB”) che ha chiarito molte questioni relative all’ambito di applicazione territoriale del GDPR.

Si potrebbe allora supporre che questa riluttanza nel designare il rappresentante nell’Unione possa ricondursi ad un timore sentito dai titolari o dai responsabili del trattamento situati fuori dal territorio europeo che si realizzerebbe nel rischio di esposizione a sanzioni da parte delle Autorità di controllo europee.

Il rappresentante nell’Unione, infatti, potrebbe essere percepito con diffidenza in quanto ha il ruolo fondamentale di garantire l’applicazione del GDPR e coadiuvare l’Autorità di controllo nello svolgimento dei propri compiti.

I titolari o responsabili del trattamento extra UE che hanno a cuore la privacy dei propri clienti o desiderano relazionarsi con partner europei dovranno valutare l’eventuale applicazione di quest’obbligo e renderlo operativo.

Segue una breve guida che si propone di rispondere ai quesiti principali in tema di rappresentante del titolare o del responsabile del trattamento nell’Unione.

Chi è il rappresentante del titolare o del responsabile del trattamento nell’Unione europea

Il rappresentante nell’Unione del titolare del trattamento o del responsabile del trattamento indica una figura professionale la cui funzione e nomina è prevista dal GDPR. Il rappresentante nell’Unione è colui il quale agisce per conto del titolare o del responsabile del trattamento e li rappresenta per quanto riguarda i loro obblighi ai sensi del GDPR. Tale figura non rappresenta una novità assoluta nell’ambito della protezione dei dati personali in quanto era già analogamente presente nella direttiva 95/46/CE, ai sensi della quale l’obbligo di designazione del rappresentante nell’Unione era imposto ai titolari del trattamento non stabiliti nel territorio europeo che trattavano dati personali avvalendosi di attrezzature, automatizzate o meno, situate nel territorio di uno Stato membro.

Il GDPR precisa la portata della previsione, facendo rientrare l’obbligo di designare un rappresentante nell’Unione nel campo di applicazione dell’articolo 3, paragrafo 2, a meno che non soddisfi i criteri di esenzione di cui all’articolo 27, paragrafo 2. L’articolo 3, intitolato “Ambito di applicazione territoriale” al paragrafo 2 enuncia che il GDPR si applica al trattamento dei dati personali degli interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

  • l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  • oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
  • Chi è obbligato a designare un rappresentante nell’Unione e quando farlo?

Per individuare chi deve designare un rappresentante è necessario applicare il “criterio della destinazione” ai sensi del predetto articolo 3, paragrafo 2 del GDPR, posto che l’assenza di una sede nell’Unione del titolare o del responsabile del trattamento non significa necessariamente che le attività di trattamento saranno escluse dal campo di applicazione del GDPR e delle rispettive normative interne ad ogni Stato cui è permesso introdurre condizioni supplementari per la protezione dei dati a livello nazionale in determinati settori o in relazione a specifiche ipotesi di trattamento.

Deve, dunque, nominare un rappresentante nell’Unione il titolare o il responsabile del trattamento stabilito in un paese terzo che tratta dati personali di interessati che si trovano nel territorio europeo nell’esecuzione di due tipi di attività distinte e alternative. Ai fini dell’applicazione del criterio di cui all’articolo 3, paragrafo 2, ciò che è determinante è che gli interessati siano situati nell’Unione, non rilevando, dunque, la cittadinanza, la residenza o altri tipi di status giuridico dell’interessato. Il fattore dell’ubicazione dovrà essere valutato nel momento in cui inizia l’attività dell’offerta di beni o servizi o al momento in cui si cominci a monitorare il comportamento dell’interessato, indipendentemente dalla durata dell’offerta effettuata o del monitoraggio intrapreso.

Inoltre, la semplice considerazione che l’interessato si trovi nel territorio europeo non è più sufficiente a far ritenere applicabile il GDPR che invece pone l’accento sull’elemento aggiuntivo del targeting delle persone che si trovano nell’Unione. Per una corretta individuazione del soggetto tenuto a designare un rappresentante nell’Unione è richiesto dal GDPR di valutare ciascuna delle attività svolte e le rispettive connessioni che queste hanno rispetto al trattamento dei dati personali.

L’EDPB ha sottolineato, infatti, che un titolare o un responsabile del trattamento può essere soggetto al GDPR in relazione soltanto ad una parte delle attività di trattamento e che necessariamente si deve procedere a considerare caso per caso le attività di trattamento alla luce del principio di applicazione territoriale contenuto nel GDPR.

Passando a considerare le attività connesse al trattamento dei dati da parte del titolare o del responsabile del trattamento, quest’ultimi devono designare il rappresentante nell’Unione quando:

  • hanno l’intenzione di offrire agli interessati beni o servizi indipendentemente dal fatto che gli sia richiesto un pagamento in cambio. Elemento determinante è dunque la previsione e la volontà del titolare o del responsabile del trattamento di avviare rapporti commerciali con i consumatori di uno o più Stati membri. Elementi favorevoli al fatto che l’offerta di beni o servizi sia diretta ad interessati europei potrebbero, per esempio, essere l’uso in un sito di e-commerce di una lingua o di una valuta generalmente utilizzata in uno o più Stati membri e la possibilità di ordinare beni e servizi con tale lingua e/o valuta. In questo senso quando i beni o i servizi sono forniti inavvertitamente o incidentalmente a una persona sul territorio dell’Unione, il relativo trattamento dei dati personali non rientra nel campo di applicazione territoriale del GDPR;
  • il trattamento dei dati personali degli interessati che si trovano nell’Unione è connesso e finalizzato al monitoraggio del loro comportamento e nella misura in cui tale comportamento degli interessati abbia luogo all’interno dell’Unione. La raccolta o l’analisi online dei dati personali di un individuo nell’UE, come ha spiegato l’EDPB, non può essere automaticamente considerata come “monitoraggio” in quanto è necessario considerare lo scopo specifico del titolare del trattamento.

La considerazione che mezzi e finalità del trattamento possono essere determinati solo dai titolari del trattamento non ci deve far pensare che è esclusa la possibilità per il responsabile del trattamento di partecipare attivamente alle attività di trattamento connesse all’esecuzione dei criteri di targeting per conto e su istruzione del titolare del trattamento (ad esempio, l’incaricato del trattamento offre beni o servizi o svolge azioni di monitoraggio per conto e su istruzione del responsabile del trattamento).

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Il considerando 24 del GDPR ci aiuta a capire quali attività di trattamento siano assimilabili al controllo del comportamento degli interessati individuando alcune operazioni quali il tracciamento degli interessati su internet e le tecniche di profilazione della persona fisica per prendere decisioni che la riguardano o per analizzare o prevedere le sue preferenze, i suoi comportamenti e i suoi atteggiamenti personali. L’EDPB estende la portata del considerando 24 invitando a prendere in considerazione anche il monitoraggio comportamentale effettuato attraverso dispositivi indossabili o altri dispositivi intelligenti al fine di determinare se un’attività di trattamento equivale al monitoraggio di un comportamento.

Alcuni esempi pratici di attività di monitoraggio potrebbero essere, quindi: il controllo o la segnalazione periodica dello stato di salute di un individuo, la pubblicità comportamentale, le indagini di mercato e gli studi comportamentali basati su profili individuali, l’attività di geolocalizzazione (in particolare a fini di marketing), il tracciamento online attraverso l’uso di cookie o altre tecniche di tracciamento come il rilevamento delle impronte digitali.

Infine è da notare che, quando un titolare o un responsabile del trattamento che rientra nell’ambito di applicazione dell’articolo 3, paragrafo 2 del GDPR (e nessuna delle eccezioni di cui all’articolo 27, paragrafo 2, GDPR si applica) esegue più di un’attività di trattamento, non è tenuto a designare più rappresentanti per ogni attività di trattamento.

Quali sono le esclusioni dall’obbligo di designazione del rappresentante nell’Unione?

Ai sensi del paragrafo 2 dell’articolo 27 del GDPR è opportuno che il titolare o il responsabile del trattamento designi un rappresentante nell’Unione a meno che:

  • il trattamento non sia occasionale, non includa il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento;
  • il titolare del trattamento sia un’autorità pubblica o un organismo pubblico.

Rispetto al concetto di trattamento occasionale, l’EDPB ha mantenuto la stessa linea interpretativa precedentemente assunta dal Gruppo di lavoro sull’articolo 29 (“WP29”) ritenendo che un’attività di trattamento possa essere considerata “occasionale” solo se non venga effettuata regolarmente, e si verifichi al di fuori del normale corso degli affari o dell’attività del titolare o del responsabile del trattamento.

Anche relativamente al concetto di trattamento su larga scala, che non trova una definizione nel GDPR, il WP29, nelle sue linee guida WP243 sui responsabili della protezione dei dati (RPD), aveva suggerito di tenere conto, in particolare, dei seguenti fattori nel determinare se il trattamento venga effettuato su larga scala: il numero di soggetti interessati (sia come numero specifico che come proporzione della popolazione interessata), il volume dei dati e/o la gamma dei diversi dati in corso di elaborazione, la durata o la permanenza dell’attività di elaborazione dei dati, l’area geografica dell’attività di elaborazione .

Infine, per valutare l’esenzione dall’obbligo di designazione di cui all’articolo 27 bisogna considerare non solo i trattamenti che non comportino rischi gravi ed elevati per i diritti e le libertà delle persone interessate ma anche quelli che non comportino rischi probabili in linea con quanto previsto nel considerando 75 del GDPR.

L’ipotesi di esclusione di cui alla lettera b dell’articolo 27, paragrafo 2, è invece relativa alla qualifica di “Autorità o organismo pubblico” dei titolari di trattamento. Secondo l’EDPB, per un ente stabilito al di fuori dell’Unione, tale qualifica dovrà essere valutata dalle autorità di vigilanza in concreto e caso per caso; tuttavia, data la natura dei loro compiti e delle loro missioni, sono probabilmente limitati i casi in cui un’autorità o un organismo pubblico di un paese terzo offrirebbe beni o servizi alle persone interessate nell’Unione o ne controllerebbe il comportamento all’interno dell’Unione.

Quali compiti svolge e quali responsabilità ha il rappresentante nell’Unione europea

Il GDPR attribuisce principalmente due compiti ai rappresentanti dell’UE:

  1. che essi fungano da punto di contatto tra il titolare o il responsabile del trattamento e gli interessati ed, in particolare, le autorità di controllo nell’Unione per tutte le questioni riguardanti il trattamento dei dati;
  2. e che essi siano in possesso di una copia del registro delle attività di trattamento della società non UE.

Il rappresentante nell’Unione, pur non essendo responsabile del rispetto dei diritti dell’interessato, ha in primo luogo il compito di facilitare la comunicazione tra l’interessato e il titolare o il responsabile del trattamento, al fine di rendere effettivo l’esercizio dei diritti dell’interessato.

A questo proposito, da un lato, il rappresentante dell’Unione, quale punto di riferimento per il titolare o il responsabile del trattamento che lo ha designato, potrà andare ad effettuare dei controlli di identità degli interessati (se il titolare o il responsabile del trattamento dà istruzione in tal senso), potrà inoltrare le richieste degli interessati (con una traduzione in inglese o altra lingua, se necessario), rispondere alle domande del titolare o responsabile del trattamento sulle migliori pratiche per rispondere alle richieste, od eventualmente, su richiesta del titolare o del responsabile del trattamento, rispondere agli interessati per loro conto (non potendo fornire agli interessati autonomamente alcuna informazione o prendere alcuna decisione).

Dall’altro lato, sebbene il GDPR non imponga al titolare del trattamento o al rappresentante stesso l’obbligo di notificare la designazione di quest’ultimo a un’autorità di controllo, il rappresentante dovrà essere facilmente reperibile dagli interessati. Infatti, ai sensi dell’articolo 13, paragrafo 1, lettera a), e dell’articolo 14, paragrafo 1, lettera a) del GDPR, i titolari del trattamento dovranno fornire a vantaggio degli interessati le informazioni sull’identità del loro rappresentante nell’Unione. Ad esempio, tali riferimenti potranno essere incluse nelle informazioni preliminari fornite agli interessati al momento della raccolta dei dati (nell’Informativa Privacy). Un titolare del trattamento non stabilito nell’Unione ma rientrante nell’articolo 3, paragrafo 2, e che non informi gli interessati che si trovano nell’Unione dell’identità del suo rappresentante, violerebbe i propri obblighi di trasparenza ai sensi del GDPR.

Le informazioni rese in conformità agli obblighi di informazione previsti dal GDPR, saranno così facilmente accessibili anche alle Autorità di controllo al fine di facilitare l’istituzione di un contatto per le esigenze di cooperazione. Infatti, un’Autorità di controllo potrebbe agevolmente contattare il rappresentante in relazione a qualsiasi questione relativa agli obblighi di conformità del titolare o del responsabile del trattamento stabilito al di fuori dell’Unione ed il rappresentante sarebbe in grado di facilitare qualsiasi scambio informativo o procedurale tra un’Autorità di controllo richiedente e un titolare o responsabile del trattamento stabilito al di fuori dell’Unione.

Il rappresentante nell’Unione dovendo pertanto essere in grado di comunicare efficacemente con gli interessati e di cooperare con le autorità di controllo interessate, potrà avvalersi di un equipe che per esempio conosca le lingue utilizzate dalle Autorità di controllo e dagli interessati o, se ciò comporta uno sforzo sproporzionato, dovrà ricorrere ad altri mezzi e tecniche per garantire l’efficacia della comunicazione. D’altro canto i rappresentanti nell’Unione dovranno altresì assicurarsi che titolari e responsabili del trattamento comprendano le richieste delle Autorità e discutere le migliori pratiche.

Ai sensi dell’articolo 30 del GDPR, il rappresentante nell’Unione deve tenere una copia del registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile del trattamento. Quest’ultimi saranno gli unici responsabili delle informazioni contenute nel registro e dei relativi aggiornamenti che dovranno comunicare al rappresentante affinché il registro possa essere effettivamente tenuto e reso disponibile anche dal rappresentante in qualsiasi momento (ad esempio, quando viene interpellato da un’autorità di vigilanza ai sensi dell’articolo 27).

Nella prassi, come dichiarato dalla rappresentante Lucia Canga intervistata dalla IAPP Research Director Caitlin Fennessy, i rappresentanti nell’Unione si occupano anche di supportare titolari e responsabili del trattamento con le notifiche di violazione dei dati alle autorità di controllo dell’UE. La ragione risiede nel fatto che i titolari e i responsabili del trattamento, in assenza di uno stabilimento nell’Unione, non possono beneficiare del meccanismo dello sportello unico previsto dall’articolo 56 del GDPR e sono sottoposti a processi piuttosto impegnativi, soprattutto se si considera la scadenza ravvicinata di 72 ore. In effetti, il principio di cooperazione e di coerenza del GDPR si applica solo ai titolari e ai responsabili del trattamento con uno o più stabilimenti all’interno dell’Unione europea che possono quindi notificare una violazione dei dati solo alla loro principale autorità di protezione dei dati nell’UE. Le società non UE, invece, devono notificare le violazioni alle Autorità di controllo di tutti gli Stati membri degli interessati di cui vengono trattati i dati.

Da tutto quanto descritto, si evince come il GDPR non intenda attribuire al rappresentante una responsabilità sostitutiva rispetto a quella del titolare o del responsabile del trattamento bensì esclusivamente una funzione di collegamento per garantire l’effettiva applicazione del GDPR da parte di quest’ultimi. Il rappresentante svolge i propri compiti nel rispetto del mandato conferitogli dal titolare o dal responsabile del trattamento ed in base alle loro istruzioni pratiche e di conseguenza risponderà solo in caso di inadempimento contrattuale nei confronti del titolare o del responsabile del trattamento. In particolare, come affermato nelle linee guida dell’EDPB, la responsabilità diretta del rappresentante nell’Unione è limitata agli obblighi di cui all’articolo 30 (tenere una copia del registro delle attività di trattamento) e all’articolo 58, paragrafo 1, lettera a), del GDPR (fornire tutte le informazioni che le Autorità di controllo richiedono per lo svolgimento dei loro compiti).

Chi può assumere il ruolo di rappresentante nell’Unione e come lo si designa

Il rappresentante nell’Unione dovrà essere un esperto della privacy in grado di rappresentare un titolare o un responsabile del trattamento stabilito al di fuori dell’Unione per quanto riguarda i rispettivi obblighi previsti dal GDPR.

In secondo luogo, il rappresentante nell’Unione dovrà avere sede nel territorio europeo e per questa ragione sarà sempre esterno all’azienda che lo ha nominato, a differenza di quanto potrebbe accadere con l’RPD che secondo quanto previsto dal GDPR è ammesso che sia interno e con sede in qualsiasi parte del mondo. Si noti che la designazione del rappresentante europeo non costituisce uno stabilimento nell’Unione del titolare o del responsabile del trattamento ai sensi dell’articolo 3, paragrafo 1.

Il rappresentante nell’Unione potrà essere una persona fisica o giuridica e di conseguenza il ruolo potrà essere assunto, sempre a condizione che siano stabiliti nell’Unione, da una vasta gamma di soggetti commerciali e non commerciali, quali studi legali, società di consulenza, società private, ed esercitato sulla base di un contratto di servizi. A riguardo, l’EBPB raccomanda che, quando la funzione di rappresentante sia assunta da una società o da qualsiasi altro tipo di organizzazione, un singolo individuo venga assegnato come contatto principale e persona “responsabile” per ogni titolare o responsabile del trattamento rappresentato e che sia utile specificarlo anche nel contratto di servizio.

Si precisa che un rappresentante nell’Unione potrà peraltro agire anche per conto di diversi titolari e responsabili del trattamento non appartenenti all’UE.

Un quesito importante riguarda la scelta dello Stato membro in cui eleggere il rappresentante che vi avrà sede. L’articolo 27, paragrafo 3 del GDPR prevede che “il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trattati in relazione all’offerta di beni o servizi o il cui comportamento è controllato”. Qualora vengano trattati dati personali di interessati situati in più di uno Stato membro, la scelta raccomandata dall’EDPB è quella di nominare un rappresentante che sia stabilito nello Stato membro in cui gli interessati sono collocati in misura prevalente. Ad ogni modo, il rappresentante dovrà rimanere facilmente accessibile anche agli interessati situati negli Stati membri in cui non è stabilito e in cui comunque sono offerti beni o servizi o in cui il comportamento è monitorato.

Conclusioni

In conclusione e in linea generale, il criterio per lo stabilimento del rappresentante nell’Unione è l’ubicazione delle persone interessate i cui dati personali sono oggetto di trattamento, non rilevando in questo caso il luogo del trattamento, anche se questo dovesse essere concretamente effettuato da parte di un responsabile del trattamento stabilito in un altro Stato membro.

Relativamente alla forma della nomina del rappresentante nell’Unione, quest’ultimo dovrebbe essere esplicitamente designato mediante mandato scritto del titolare o del responsabile del trattamento ad agire per conto di questi ultimi con riguardo agli obblighi che derivano dal GDPR. Il mandato scritto ai sensi del considerando 80 del GDPR dovrà disciplinare i rapporti e gli obblighi tra il rappresentante nell’Unione e il titolare o responsabile stabilito al di fuori dell’Unione, ferma restando la responsabilità di quest’ultimi.

In merito alla differenza tra il rappresentante nell’Unione e l’RPD/DPO si sottolinea che non si tratta di ruoli uguali e compatibili, anche per ragioni di possibile conflitto di interessi. L’aspetto fondamentale che differenzia queste due figure di professionisti della privacy riguarda l’autonomia e l’indipendenza con cui opera l’RPD rispetto al rappresentante nell’Unione che, come è già stato evidenziato, è soggetto ad un mandato da parte di un titolare o responsabile del trattamento e agirà per suo conto e sotto la sua diretta istruzione. Se il rappresentante nell’Unione è incaricato di rappresentare appunto il titolare o il responsabile del trattamento che lo designa, al contrario, l’RDP non deve ricevere alcuna istruzione in merito all’esercizio dei suoi compiti come stabilito dall’articolo 38, paragrafo 3 del GDPR. I titolari e i responsabili del trattamento sono tenuti a garantire all’RPD totale indipendenza affinché esso sia in grado di svolgere i propri doveri e compiti con un grado sufficiente di autonomia anche quando sia, all’interno di un’organizzazione, dipendente del titolare o del responsabile del trattamento. Ed anche qualora nella prassi le funzioni di rappresentante nell’Unione e di RPD si dovessero sovrapporre, l’EDPB sottolinea l’assoluta incompatibilità nell’assumere entrambe i ruoli contemporaneamente.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 4