A chi si applica il GDPR (General Data Protection Regulation)

Per stabilire se un’impresa è soggetta al Regolamento Europeo sulla Privacy  679/2016 è necessario conoscere i suoi stabilimenti  e la sua organizzazione interna (art. 3).

Quando si applica il GDPR

Le GDPR prevedono che il Regolamento si applichi ad un’impresa quando ha:

  • uno stabilimento nell’Unione se il trattamento riguarda l’attività che viene svolta nello stabilimento. In questo caso non conta la nazionalità dell’interessato del trattamento né importa che vengano offerti servizi o beni nell’Unione; oppure
  • uno stabilimento fuori dall’Unione, ma svolge un’attività (ad esempio monitoraggio o profilazione) o un’offerta di beni e servizi nell’Unione, destinata a soggetti che si trovano, anche in via temporanea, nell’Unione. Non conta invece la nazionalità di questi ultimi.

È importante considerare che ai sensi del Regolamento lo “stabilimento” è anche la presenza di un rappresentante nell’Unione o lo svolgere alcune attività nell’Unione, come il tracciamento dei consumatori (Google Spain C-131/12; Weltimmo C-230/14)

Non è considerato “stabilimento” avere un sito Internet accessibile dall’Unione o avere il server nell’Unione.

L’ubicazione del server e della struttura che tratta i dati (c.d. equipment) è irrilevante ai fini dell’applicazione del Regolamento.

Per scoprire quando non si applica il GDPR leggi questo articolo.