Legal

GDPR: dove e quando si applica?

GDPRAvvicinandosi la data del 25 maggio 2018 nella quale dovrà trovare piena applicazione il Reg 679/2016 sul trattamento e la tutela dei dati, occorre capire a quali aziende e realtà esso si riferisce: per gli interessati è importante sapere a chi rivolgersi per l’esercizio dei propri diritti, per le  aziende è ancora più vitale per essere certi di operare nel rispetto della legge.
Dalla lettura del regolamento emergono 4 criteri per l’applicazione dello stesso:

  • Il primo criterio utilizzato dal legislatore è quello dello stabilimento. In sostanza, il Regolamento si applica a tutti i titolari stabiliti in uno Stato dell’Unione Europea, indipendentemente dal fatto che il trattamento dei dati avvenga o meno sul territorio dell’Unione. Ne deriva che un’azienda europea è obbligata ad applicare il GDPR (General Data Protection Regulation) anche quando tratta dati personali di cittadini extra-europei.
     
  • Il secondo criterio riguarda l’ubicazione del soggetto a cui si riferiscono i dati e i servizi offerti. Infatti il Regolamento (oltre alle aziende europee) trova applicazione anche per le aziende stabilite fuori dall’Unione Europea (ad esempio una azienda americana) quando le stesse effettuano trattamenti dati dei cittadini dell’UE e offrono loro beni e servizi (è il caso ad esempio di offerte attraverso servizi web). Questo criterio amplia significativamente l’ambito di applicazione del GDPR, poiché anche le aziende extracomunitarie coinvolte saranno chiamate a seguire la normativa europea.
     
  • Il terzo criterio è relativo all’ubicazione del soggetto a cui si riferisce il monitoraggio. In altre parole, il Regolamento 679 si applica anche alle organizzazioni stabilite fuori dell’UE, se svolgono attività di monitoraggio del comportamento dei residenti UE. Questo si può esprimere nelle operazioni di profilazione eseguite attraverso Internet per analizzare, ad esempio, preferenze, abitudini o posizioni personali dei residenti nell’Unione.
     
  • Il quarto criterio riguarda il diritto internazionale pubblico. Se un’organizzazione non è stabilita in uno Stato membro, ma è soggetta alle sue leggi in virtù del diritto internazionale pubblico, anch’essa sarà soggetta al Regolamento.
Cosa occorre fare allora?
Innanzitutto si consiglia di mappare tutti i dati trattati per capire con esattezza quali trattamenti vengono effettuati e verificare se tali trattamenti rientrano o meno sotto il regine del GDPR: poi per tutti i trattamenti che rientrano nell’ambito di applicazione del regolamento cominciare sin da ora ad implementare  i nuovi adempimenti.

Autore: Silvia Stefanelli

Silvia Stefanelli è avvocato cassazionista, fondatore e co-titolare dello Studio Legale Stefanelli&Stefanelli, specializzato in ambito di sanità ed appalti. Esperta di diritto sanitario, con particolare competenza in materia di organizzazione di servizi sanitari in ambito pubblico e privato, dispositivi medici, data protection e responsabilità medica. Si occupa ampiamente di sanità digitale.


Social: