Al Regolamento (UE) 2016/679, adottato nel 2016 ed entrato in vigore nel 2018, e nato con lo scopo di garantire un trattamento equo e trasparente delle informazioni personali nell’era digitale, può riconoscersi un duplice ambito di applicazione: un ambito “materiale” e un ambito “territoriale”.
Quanto al primo profilo, il GDPR tutela esclusivamente le persone fisiche e non anche le persone giuridiche. Mentre infatti il testo originario del Codice della Privacy Italiano qualificava come “dato personale” «qualunque informazione relativa a persona fisica, persona giuridica, ente ed associazione», il testo del Regolamento prevede espressamente che lo stesso «stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali» non automatizzato, di dati personali.
Sempre restando nell’ambito materiale va detto che il Regolamento non si applica a quei trattamenti effettuati dagli Stati membri a fini di sicurezza e difesa nazionale, a fini di prevenzione, indagine, accertamento o perseguimento di reati, ai trattamenti effettuati dalle persone fisiche per l’esercizio di attività esclusivamente personali e domestiche, al di fuori, pertanto, di qualsiasi ambito economico, commerciale o professionale, e non si applica altresì ai trattamenti dei dati personali relativi alle persone giuridiche.
Quanto all’ambito applicativo territoriale, invece, l’art. 3 prevede che sono soggetti alle disposizioni del regolamento i trattamenti di dati personali effettuati nell’ambito delle attività di uno stabilimento da parte di un titolare o responsabile del trattamento nell’Unione, anche se il trattamento è effettuato al di fuori dello spazio comunitario.
Inoltre, il GDPR trova applicazione anche per quei trattamenti effettuati da soggetti che si trovano al di fuori dell’Unione ma aventi ad oggetto:
- la prestazione di servizi e la consegna di beni, anche a titolo gratuito, a favore di persone che si trovano nell’UE;
- il monitoraggio del comportamento di un soggetto nei limiti in cui tale comportamento abbia luogo nell’UE.
Dunque l’approccio del GDPR si estende inevitabilmente alle sue implicazioni extraterritoriali. Sebbene sia un regolamento europeo, infatti, la sua portata raggiunge organizzazioni al di fuori dell’UE che trattano dati di cittadini europei. E questo comporta inevitabili conseguenze sul piano delle relazioni internazionali e delle leggi nazionali non sempre in sintonia con le disposizioni del GDPR. Un esempio lo possiamo ben ritrovare nella recente decisione di adeguatezza della Commissione Europea di cui si è detto in un precedente articolo (premere qui per leggerlo).
E proprio per questo è possibile affermare che questo Regolamento incarna un approccio bilanciato e progressista alla protezione dei diritti individuali nel contesto sempre evolutivo delle tecnologie digitali.
Per approfondire:
- G. Finocchiaro, La protezione dei dati personali in Italia, Torino, 2019; - G. M. Riccio, G. Scorza, E. Belisario, GDPR e Normativa Privacy Commentario, Padova, 2022; - R. Sciaudone, E. Caravà, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Roma, 2019.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Sui profili del trasferimento dei dati nell’ambito del cloud computing - Luglio 14, 2024
- Riflessioni a margine del convegno di Informatica Giuridica dell’Osservatorio permanente delle novità giurisprudenziali di legittimità del Consiglio dell’Ordine degli Avvocati di Napoli - Luglio 10, 2024
- Sulla nozione di trasferimento dei dati personali - Luglio 1, 2024
- Sul principio della net neutrality - Giugno 24, 2024
- Quando è obbligatorio nominare il D.P.O. - Giugno 17, 2024
