La designazione per iscritto da parte di titolari e responsabili del trattamento stabiliti al di fuori dell’UE di un proprio rappresentante stabilito in uno degli Stati membri dell’Unione Europea è uno degli obblighi da assolvere per la compliance al GDPR.
Indice degli argomenti
Rappresentante di titolari e responsabili del trattamento: la norma
All’art. 3, par. 2, infatti, il Regolamento Generale sulla Protezione dei Dati UE 2016/679 stabilisce che le prescrizioni da esso previste debbano essere applicate al trattamento dei dati personali delle persone fisiche che si trovano nell’ Unione Europea anche se effettuati da un titolare o responsabile del trattamento non stabilito nell’Unione, qualora riguardino l’offerta di beni e servizi (anche “gratuita”), o prevedano il monitoraggio del loro comportamento all’interno dell’Unione stessa.
Appare quindi evidente come tale Regolamento UE debba essere conosciuto, approfondito e potenzialmente applicato da tutti gli operatori economici al di là della loro ubicazione e raggio d’azione prevalente.
Evidenziare l’intenzione di offrire beni e servizi ad interessati che si trovano nell’ Unione Europea tramite un sito Internet (ad esempio utilizzando per poter ordinare una lingua o una moneta abitualmente propria di uno o più Stati membri, oppure citando già clienti e/o possibilità di consegne in tali paesi), piuttosto che tracciarne il comportamento in rete anche solo al fine di profilarne il comportamento commerciale è sufficiente, sulla base dei Considerando 23 e 24 del citato Regolamento, a fare scattare tutti gli obblighi previsti dalla normativa.
Come dicevamo, tra questi obblighi figura, all’art. 27, la designazione per iscritto di un rappresentante stabilito in uno degli Stati membri dell’Unione Europea a meno che:
- il trattamento sia occasionale, non riguardi categorie di dati particolari o giudiziari su larga scala, sia improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche;
- titolari o responsabili del trattamento siano autorità o organismi pubblici.
Poiché le tre condizioni previste alla lett. a) non sono alternative ma devono essere soddisfatte contestualmente, gran parte degli operatori economici extra europei dovranno nominare un proprio Rappresentante al fine di poter correttamente continuare a fornire beni e servizi nei Paesi UE.
Rappresentante di titolari e responsabili del trattamento: il ruolo
Questo genere di figura (non nuova nella legislazione europea se pensiamo ad esempio al rappresentante fiscale) dovrà fungere da interlocutore, in aggiunta o in sostituzione del titolare o responsabile, con le Autorità di controllo e con gli interessati al trattamento di tutti gli Stati Membri.
Chiaro è l’intento del Legislatore europeo di evitare che chi effettua trattamenti di dati personali dei cittadini UE risulti irreperibile ai controlli o all’esercizio dei diritti previsti dal Regolamento UE.
Non sono indicate regole circa l’ubicazione del rappresentante di titolari e responsabili del trattamento ma lo European Data Protection Board (EDPB) nelle sue linee guida 3/2018 indica come buona prassi che sia stabilito nel paese ove risiedono il maggior numero di interessati, purché facilmente accessibile anche dagli altri, e come necessario che (eventualmente coadiuvato da un team) sia in grado di comunicare efficacemente nella lingua dei soggetti coinvolti.
È in effetti obiettivamente preferibile scegliere un rappresentante di titolari e responsabili del trattamento stabilito nel paese ove si opera maggiormente anche perché l’Autorità competente (o che gode di maggiori poteri) è comunque quella dell’interessato, come chiarito nel Considerando 122 del Regolamento, in quanto un rappresentante non è assimilabile ad uno stabilimento del titolare o responsabile del trattamento.
Non è escluso che chi già oggi fornisce servizi ad operatori esteri si proponga per tale ruolo ma dovrà fare molta attenzione in quanto la funzione, anche se la responsabilità generale resta in capo al committente, può presentare seri rischi.
Nel Considerando 80, infatti, si afferma che “il rappresentante designato dovrebbe essere oggetto di misure attuative in caso di inadempienza da parte del titolare o responsabile del trattamento” e l’EDPB cita la possibilità che siano irrogate multe e sanzioni amministrative.
Ad oggi non essendosi ancora verificato alcun caso non è dato sapere cosa esattamente si intenda per misure attuative o quali inadempienze possano in concreto prevedere sanzioni in capo al rappresentante di titolari e responsabili del trattamento e non è escluso che ogni Autorità di controllo abbia una propria idea in merito.
Rappresentante di titolari e responsabili del trattamento: la nomina
Ciò che è certo è che il ruolo di rappresentante di titolari e responsabili del trattamento non può essere inteso come una sorta di servizio di segreteria ma va svolto da persone esperte nella materia che siano in grado di fornire consulenza all’operatore estero e al contempo verificare il suo grado di compliance alla normativa.
L’incarico, infatti, che si configura come un mandato di rappresentanza per quanto riguarda gli obblighi previsti dal Regolamento, potrà anche essere predisposto in maniera modulare, stabilendo con precisione a livello contrattuale il grado di coinvolgimento del rappresentante, ma anche nel caso più basico di semplice interlocuzione e tramite tra l’operatore estero e i numerosi soggetti coinvolti è certamente necessario che il rappresentante verifichi che il committente si sia dotato di idonei strumenti tecnico organizzativi e abbia predisposto la documentazione prevista dal Regolamento onde evitare che sue inadempienze possano generare conseguenze negative al rappresentante stesso.
Dovrà inoltre necessariamente avere a disposizione (ed essere in grado di interpretare) il registro aggiornato dei trattamenti svolti dal titolare o responsabile (come indicato nelle linee guida di EDPB) per fornire tempestive ed esaurienti risposte agli interessati e/o alle Autorità.
È bene precisare che il rappresentante di titolari e responsabili del trattamento non deve essere necessariamente un DPO (la doppia funzione presso la medesima azienda appare oltre tutto incompatibile) ma il profilo di competenza dovrà essere molto simile per quelle aziende extra UE che, non avendo un DPO, intendono affidare al rappresentante incarichi complessi in termini di consulenza per la definizione della compliance.
Come per il DPO l’incarico può essere affidato ad una persona fisica o a una società/organizzazione (EDPB raccomanda di assegnare comunque una persona di riferimento) che può esercitarlo anche per più committenti; non deve invece essere comunicato alle Autorità di controllo ma l’informazione deve essere ad esse ed agli interessati facilmente reperibile (ad esempio mediante pubblicazione sul sito internet aziendale).
Conclusioni
Non è espresso che i termini essenziali del contratto di servizio tra il rappresentante e il committente siano resi disponibili (come nel caso dei contitolari) ma si consiglia di farlo sia in fase di informativa sul trattamento agli interessati che sul sito internet affinché sia agli interessati che alle Autorità siano chiari sin da subito i compiti realmente affidati e il grado effettivo di rappresentanza attribuita, specificando, ad esempio, se si estenda a poteri di rappresentanza processuale.
Il ruolo di rappresentante del titolare o del responsabile del trattamento di soggetti non ubicati nell’Unione Europea richiede quindi competenze specialistiche nella materia e potrà rappresentare, negli anni a venire, una valida opportunità per gli operatori del settore, specialmente per i più giovani, più facilmente dotati di competenze linguistiche e maggiormente abituati a muoversi in contesti internazionali.
