Oggetto ed ambito applicativo (GDPR e t.u. in materia di privacy)



L'art. 1 del GDPR stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Questa formulazione viene implicitamente a negare (a differenza di quanto disponeva il T.U. di cui al D.Lgs. n. 196/2003) qualsiasi protezione (non potendo essere reputato tale quello che si ritrae dalla possibilità di elaborare codici di condotta di cui all'art. 40 del GDPR) ai dati delle entità differenti dalla persona fisica (società, associazioni, fondazioni, persone giuridiche) con potenziali gravi pregiudizi (si pensi alle evidenze delle banche dati che fanno capo al circuito creditizio) nota1.
Il regolamento, ai sensi del considerando n. 27, neppure si applica ai dati personali delle persone decedute, anche se gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute.

L'art. 3 del GDPR descrive l'ambito di applicazione territoriale della normativa, imperniato ora sul soggetto attivo, ora su quello passivo del trattamento, avendo un riferimento spaziale evidentemente più ampio di quello di cui alla normativa pregressa nota2. Anzitutto al primo paragrafo viene disposto che Il regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. Ne segue che, quand'anche le varie operazioni di cui può consistere il trattamento fossero effettuate in Paesi stranieri non membri dell'UE, comunque esse vengono disciplinate dal GDPR se siano riconducibili alle attività di cui sopra.

In secondo luogo il regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:
  • l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure
  • il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.

Ai sensi del par. 3 il regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

Note

nota1


Ne deriva che i dati relativi a qualsiasi soggetto diverso dalla persona fisica può essere raccolto, trattato e addirittura comunicato senza che l'interessato possa non solo opporsi, ma neppure vantando alcun diritto. Società commerciali, fondazioni, associazioni non potranno più vantare il diritto di ottenere l’accesso ai propri dati personali, l’indicazione sull’origine, le finalità e modalità del trattamento, gli estremi identificativi del titolare del trattamento, la rettificazione o l’aggiornamento e persino la cancellazione dai dati a tali entità riconducibili. Del tutto assenti anche regole sulla liceità del trattamento, sulla determinatezza della finalità del trattamento e della legittimità dello stesso che contraddistingue la raccolta dei dati e di conservazione del dato in una forma che permetta di identificare l’interessato per il solo periodo di tempo necessario al fine ultimo per cui il dato è stato raccolto. Nessuna persona giuridica potrà vantare alcun diritto ad un’informativa precisa sulla modalità del trattamento dei dati né i tempi di conservazione né l’avvertimento della registrazione del dato nelle banche dati nè di essere informata dal sistema creditizio sul rigetto della richiesta del credito a causa di informazioni negative inserite nelle banche dati.
top1

nota2


Giova rammentare che il previgente art. 5 del T.U. di cui al D.Lgs. n. 196/2003 (come modificato per effetto dell'entrata in vigore del D.L. n. 70/2011 che ebbe a introdurre l'ipotesi di esclusione di cui al comma 3 bis) assumeva in considerazione l'oggetto e l'ambito applicativo del provvedimento normativo, evidenziando come disciplinasse il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
Ovviamente la tecnologia delle reti rende in fatto evanescente il tradizionale riferimento al contesto spaziale. Ecco il motivo per cui il II comma della disposizione prescriveva che la normativa si applicasse anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione delle norme di cui al T.U., il titolare del trattamento avrebbe dovuto designare un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.
Il III comma dell'art. 5 del T.U. conteneva anche una limitazione: il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali era soggetto all'applicazione del T.U. solo se i dati fossero destinati ad una comunicazione sistematica o alla diffusione. Si sarebbero applicate in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli artt. 15 e 31 del T.U..
top2

Percorsi argomentali

Aggiungi un commento


Se vuoi aggiornamenti su "Oggetto ed ambito applicativo (GDPR e t.u. in materia di privacy)"

Iscriviti alla Newsletter di WikiJus!

Iscriviti