Il GDPR per le aziende extra UE
Uno degli elementi sicuramente più interessanti del nuovo regolamento europeo sulla protezione dei dati personali è quello relativo alla sua applicazione anche per le realtà che non risiedono all’interno della Comunità Europea.
Questa scelta del legislatore apre interessanti scenari e una serie di importanti conseguenze.
Il GDPR afferma: “Il regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.”
Si afferma che è opportuno verificare se il titolare o il responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell’Unione, non bastando per tale valutazione la semplice accessibilità del sito web del titolare, del responsabile del trattamento o di un intermediario nell’Unione, un indirizzo di posta elettronica o altre coordinate di contatto di un cittadino europeo o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito.
Vanno invece considerati altri fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione.
Quindi, facendo un esempio, un sito di una società americana a cui possono accedere dei cittadini europei, senza che però detti soggetti abbiano possibilità di acquistare, non comporta l’applicazione del GDPR per quella Società. Se però la società americana ha un sito accessibile anche dall’Europa e in cui il cittadino europeo può acquistare i prodotti, allora la società ricade nell’ambito di applicazione.
Vi è poi un ulteriore aspetto che fa ricadere l’azienda extra UE nell’ambito del GDPR e cioè “il monitoraggio del comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”: questa disposizione fa sì che, ad esempio, un social network extra UE non possa più profilare gli interessati europei senza il loro consenso e senza esplicitare finalità e modalità della profilazione trincerandosi dietro il fatto di non risiedere in Europa.
Proprio per questo vi sono ad oggi colossi del web che menzionano espressamente il GDPR se il soggetto che interagisce è un cittadino europeo.
Ciò può comportare di certo una differenza di trattamento e di tutela tra i cittadini europei e non europei e, anche da un punto di vista di comunicazione, può ingenerare non pochi imbarazzi in capo al titolare, che può trovarsi costretto a spiegare a un suo cliente il motivo per cui tutela i suoi dati magari in maniera inferiore rispetto ad un utente UE.
La logica conseguenza di questo epocale ampliamento della portata della privacy europea può generare due conseguenze antitetiche:
– una spinta positiva che induce le aziende anche non europee a dare garanzie per tutti, avvicinandosi al mondo del GDPR e cogliendo l’occasione per intraprendere un percorso virtuoso che vede il rispetto dell’utente alla base di un marketing consapevole ed eticamente corretto;
– una chiusura di mercato ai cittadini europei per evitare “problemi”.
Di certo la seconda conseguenza si potrà forse avere solo da parte di coloro che hanno un basso numero di cittadini europei tra i loro clienti in quanto, per gli altri, la perdita di mercato sarebbe di certo più grave dell’applicazione del GDPR.
Se poi valutiamo il tutto anche dal lato della concorrenzialità di impresa, questa norma tutela di certo le aziende europee, che non rischiano più di vedersi “rubare” clienti da aziende il cui diritto sulla privacy è più labile, permettendo ad esempio azioni aggressive di marketing o anche, più semplicemente, una minore spesa in materia di sicurezza con conseguente abbassamento dei prezzi.
Sarà interessante ne prossimi mesi vedere e valutare come il mercato evolverà nel recepimento di queste importanti novità e se questa parte del GDPR contribuirà a rendere la privacy sempre più una forma di rispetto del cliente.
Lorenzo Baldanello
AEG Corporation – Studio legale VBS
MAG nr.3, maggio-giugno 2019