Per stabilire se un’impresa è soggetta al Regolamento Europeo sulla Privacy 679/2016 è necessario conoscere i suoi stabilimenti e la sua organizzazione interna (art. 3).
Quando si applica il GDPR
Le GDPR prevedono che il Regolamento si applichi ad un’impresa quando ha:
- uno stabilimento nell’Unione se il trattamento riguarda l’attività che viene svolta nello stabilimento. In questo caso non conta la nazionalità dell’interessato del trattamento né importa che vengano offerti servizi o beni nell’Unione; oppure
- uno stabilimento fuori dall’Unione, ma svolge un’attività (ad esempio monitoraggio o profilazione) o un’offerta di beni e servizi nell’Unione, destinata a soggetti che si trovano, anche in via temporanea, nell’Unione. Non conta invece la nazionalità di questi ultimi.
È importante considerare che ai sensi del Regolamento lo “stabilimento” è anche la presenza di un rappresentante nell’Unione o lo svolgere alcune attività nell’Unione, come il tracciamento dei consumatori (Google Spain C-131/12; Weltimmo C-230/14)
Non è considerato “stabilimento” avere un sito Internet accessibile dall’Unione o avere il server nell’Unione.
L’ubicazione del server e della struttura che tratta i dati (c.d. equipment) è irrilevante ai fini dell’applicazione del Regolamento.
Per scoprire quando non si applica il GDPR leggi questo articolo.