Home

Regolamento - 27/04/2016 - n. 679 art. 27 - Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione

Carlo Rossi

Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione

1. Ove si applichi l'articolo 3, paragrafo 2, il titolare del trattamento o il responsabile del trattamento designa per iscritto un rappresentante nell'Unione.

2. L'obbligo di cui al paragrafo 1 del presente articolo non si applica:

a) al trattamento se quest'ultimo è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e a reati di cui all'articolo 10, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell'ambito di applicazione e delle finalità del trattamento; oppure

b) alle autorità pubbliche o agli organismi pubblici.

3. Il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell'ambito dell'offerta di beni o servizi o il cui comportamento è monitorato.

4. Ai fini della conformità con il presente regolamento, il rappresentante è incaricato dal titolare del trattamento o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.

5. La designazione di un rappresentante a cura del titolare del trattamento o del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso titolare del trattamento o responsabile del trattamento.

Inquadramento

L'articolo in commento individua un soggetto attivo del trattamento. Non si tratta di una figura del tutto nuova, in quanto già contemplata dalla Direttiva 95/46/CE (art. 4.2) e dal Codice Privacy A-R (art. 5.2). Tuttavia, rispetto alla normativa precedente si evidenzia che la figura del rappresentante riguarda non più soltanto il titolare ma anche il responsabile del trattamento.

Fine ultimo del legislatore europeo sembra essere stato la creazione di un elemento di prossimità agli interessati e alle Autorità garanti europee con cui interagire anche in sostituzione del titolare o del responsabile quando questi sono stabiliti in Paesi terzi (Bolognini, Pelino, Bistolfi, 154).

Rappresentante del titolare o del responsabile

Con il termine rappresentante si intende «la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'art.27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento» (art. 4.1, n. 17 del GDPR).

La figura del rappresentante è strettamente correlata a quanto previsto dall'art. 3.2 GDPR che – nel disciplinare l'ambito di applicazione territoriale – include il trattamento di dati personali di persone fisiche (interessati) che si trovano nell'Unione, effettuato da un titolare o responsabile del trattamento al di fuori dell'Unione quando: a) offrono beni e servizi agli interessati che si trovano nell'UE, indipendentemente dall'obbligatorietà di un pagamento; b) monitorano il comportamento degli interessati nella misura in cui tale comportamento ha luogo all'interno dell'UE.

Dal predetto dato normativo emerge che, in caso di offerta di beni o servizi (art. 3. 2, lett. a, il Regolamento si applica anche a soggetti (titolare del trattamento o responsabile del trattamento) che non siano stabiliti nell'Unione. Pertanto, in questo caso, se il titolare o il responsabile del trattamento sono stabiliti fuori dall'Unione e offrono beni o servizi a interessati che si trovano nell'Unione, essi sono tenuti ad applicare il Regolamento.

Designazione del rappresentante e rapporto con il titolare e il responsabile

Sotto un profilo civilistico, il rapporto rappresentante-titolare e responsabile deve inquadrarsi nel contratto di mandato, come peraltro suggerisce il considerando 80 GDPR. La designazione deve avvenire in forma scritta (art. 27.1 GDPR) in un momento anteriore rispetto all'avvio delle attività di trattamento, come confermato dall'Autorità Garante in una recente ordinanza di ingiunzione [doc. web n. 9809998].

La menzione del rappresentante del titolare o del responsabile sul sito web di quest'ultimo non soddisfa il requisito di forma imposto dal Regolamento (Calder, 134).

Non sembrano esservi elementi ostativi ad un rappresentante “plurimandatario” (Bolognini, Pelino, Bistolfi, 155).

A sostegno di tale interpretazione si riporta quanto già ebbe modo di chiarire WP29 in relazione all'istituto della rappresentanza così come previsto dalla Direttiva 95/46/CE: «Si potrebbe raccomandare di fare ampiamente ricorso alla possibilità che un solo rappresentante agisca per conto di numerosi titolari o di cercare altre soluzioni pragmatiche» (WP29 wd. 30 maggio 2002).

Funzioni

Il ruolo in commento rappresenta il titolare/responsabile per ogni obbligazione su questi gravante ai sensi dell'art. 4.17 GDPR.

Si configura dunque un potere di rappresentanza sostanziale in capo al rappresentante.

Quest'ultimo è tenuto a svolgere i suoi compiti nel rispetto del mandato conferitogli.

A mero titolo esemplificativo, spetta al rappresentante gestire la cooperazione – in aggiunta o in sostituzione del titolare/responsabile del trattamento – con le Autorità di controllo competenti per qualsiasi misura adottata al fine di garantire il rispetto del Regolamento, nonché fungere da interlocutore degli interessati per l'esercizio dei diritti exartt. 15 ss. GDPR e per tutte le questioni riguardanti il trattamento.

Al rappresentante è poi demandata la conservazione dei documenti relativi alle attività di trattamento svolte, anche qualora siano richiesti in sede di ispezione.

Lo svolgimento di tali compiti in nome e per conto del titolare e del responsabile del trattamento rende opportuna la scelta, quale rappresentante, di un soggetto che sia in grado di interloquire in diverse lingue.

Rimane dubbia invece l'esistenza di un potere di rappresentanza processuale, fermo restando che la designazione del rappresentante non pregiudica la possibilità di promuovere azioni legali nei confronti del titolare o del responsabile del trattamento (art. 27.5 GDPR). Inoltre, atteso che la figura del rappresentante introdotta dal Regolamento non può intendersi assimilabile a quella di un mero mediatore o facilitatore (e dunque di un soggetto la cui attività consiste nel mettere in relazione due o più parti al fine di agevolare e facilitare il raggiungimento di un obiettivo, senza essere vincolato ad alcuna di esse da rapporti di collaborazione, di rappresentanza o di dipendenza), il soggetto designato, come previsto dal considerando n. 80 GDPR, dovrà agire per conto del titolare nell'adempimento degli obblighi che a questi derivano dal Regolamento, presentandosi quale unico punto di contatto con l'interessato. Sul punto si richiamano le precisazioni fornite dal Garante nell'ambito dell'ordinanza di ingiunzione nei confronti della società Alpha Exploration Co. Inc. [doc. web n. 9828901]: la società aveva previsto un obbligo di invio delle richieste non solo al rappresentante designato bensì anche al titolare del trattamento.

Tale obbligo appare disallineato rispetto al dettato normativo che qualifica, invece, il rappresentante come un vero e proprio interlocutore che agisce in nome e per conto del titolare.

Obbligatorietà e facoltatività della nomina

L'obbligo di designazione del rappresentante non grava su ogni titolare o responsabile del trattamento che, situato al di fuori dall'UE, sia soggetto all'applicazione del Regolamento.

Invero, la designazione del rappresentante è obbligatoria quando:

- il mandante non è un soggetto pubblico;

– trova applicazione l'art. 3.2 GDPR;

– il trattamento svolto non è occasionale;

– è incluso il trattamento su larga scala di dati particolari o giudiziari;

– il trattamento presenta un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell'ambito di applicazione e delle finalità del trattamento.

Dall'interpretazione letterale della norma, anche in relazione al considerando 80, si evince che le condizioni devono sussistere cumulativamente affinché ricorra l'obbligo di nominare il rappresentante.

Ciò è peraltro desumibile da un più approfondito esame dei criteri ermeneutici, che evidenzia come il legislatore comunitario non abbia utilizzato disgiuntive tra una condizione e l'altra, ma – al contrario – abbia indicato le singole ipotesi elencandole separate solo da virgole.

Sulla scorta di tale ricostruzione l'Information Commissioner inglese ha ritenuto che sia tenuto alla nomina del rappresentante una società americana non stabilita nell'Unione Europea che vende prodotti online a consumatori siti nell'Unione Europea in quanto la stessa trattava dati regolarmente; lo stesso dicasi nel caso in cui la società utilizzi un fornitore terzo per gestire i pagamenti o funzioni di carrello, lo stesso service provider sarà soggetto a tale obbligo. Nel caso invece di una società americana che offra un servizio di cloud storage o un servizio di software as a service ad una azienda industriale basata in Europa, non sarà necessaria la nomina di un rappresentante ai sensi dell'articolo in parola, in quanto offre tale servizio ad una società, a prescindere dal fatto che la stessa società si serva del servizio per trattare dati personali dei propri dipendenti.

La nomina di un rappresentante sarà necessaria anche in tutti i casi in cui la società americana (o comunque non comunitaria) offra servizi direttamente ai dipendenti delle proprie società controllate in Europa.

Per comprendere quando, ricorrendo i presupposti innanzi delineati, sia obbligatoria la designazione di un rappresentante, è altresì necessario chiarire il concetto di stabilimento sul territorio dell'Unione, in quanto solo in assenza di stabilimento in uno degli Stati dell'Unione Europea, il titolare/responsabile straniero dovrà provvedere a determinare un ufficio di rappresentanza.

La definizione non è contenuta nel Regolamento, ma il considerando 22 chiarisce che il concetto di stabilimento implica l'effettivo e concreto svolgimento di attività nell'ambito di un'organizzazione stabile, ovvero il luogo in cui sono condotte le principali attività di trattamento dei dati sul territorio dell'Unione; ai fini dell'individuazione dello stabilimento per il Regolamento non è invece rilevante la forma giuridica specificamente adottata, sia essa una succursale o una filiale dotata di personalità giuridica.

Informazioni da rendere all'interessato

L'identità e i dati di contatto del rappresentante, ove ricorrano i presupposti per la sua nomina, devono essere resi noti all'interessato, costituendo tali dati informazioni da inserire espressamente nell'informativa ex art. 13 GDPR. Sul punto, non risulterebbe neppure sufficiente una mera menzione dell'indirizzo fisico del rappresentante, ma è necessaria l'indicazione di un indirizzo di posta elettronica e del numero di telefono del rappresentante, come confermato dal sopra menzionato provvedimento del Garante nei confronti della società Alpha Exploration Co. Inc. del 6 ottobre 2022 [9828901].

Inadempimento e sanzioni

Come già evidenziato nel par. 5, la designazione del rappresentante non incide sulla responsabilità generale che resta in capo al titolare del trattamento o del responsabile del trattamento ai sensi del regolamento e, pertanto, non pregiudica la possibilità di promuovere azioni legali nei confronti del titolare o del responsabile del trattamento ex art. 27.5 GDPR.

Il legislatore comunitario non ha previsto sanzioni specifiche per l'inosservanza di obblighi da parte del rappresentante. Tuttavia, il considerando 80 stabilisce che quest'ultimo “dovrebbe essere oggetto di misure attuative in caso di inadempienza da parte del titolare o del responsabile del trattamento”.

Al contrario, in caso di omessa designazione del rappresentante nei casi di obbligatorietà, il titolare e il responsabile del trattamento sono soggetti alla sanzione amministrativa pecuniaria

Spetta al Garante per la protezione dei dati personali, quale organo competente, irrogare la sanzione amministrativa; a tal fine, il procedimento per la sua adozione può essere avviato a seguito di reclamo (art. 77 GDPR), di attività istruttoria su iniziativa dell'Autorità nazionale, nell'esercizio dei poteri di indagine (art. 58.1 GDPR), per accessi, ispezioni o verifiche svolte in base a poteri di accertamento autonomi o delegati dal Garante medesimo.

Bibliografia

Bolognini, Pelino, Bistolfi, Il Regolamento Privacy Europeo, Milano, 2016; Calder, EU General Data Protection Regulation (GDPR) - An implementation and Compliance, United Kingdom, 2016

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Testo articolo
Inquadramento
Rappresentante del titolare o del responsabile
Designazione del rappresentante e rapporto con il titolare e il responsabile
Funzioni
Obbligatorietà e facoltatività della nomina
Informazioni da rendere all'interessato
Inadempimento e sanzioni
Bibliografia