Quando è necessario il rappresentante dell’UE ai sensi del GDPR?
/in Privacy/di Giovanni GaetaForse non tutti sanno che l’articolo 27 del GDPR prevede la nomina di un rappresentante europeo per le aziende situate al di fuori dell’UE che svolgono attività di trattamento dei dati di cittadini europei.
In breve, il ruolo del rappresentante è quello di fungere da punto di contatto tra il titolare del trattamento, situato al di fuori del territorio dell’UE, e le autorità nazionali di protezione dei dati e gli interessati.
Essendo un obbligo imposto solo alle aziende extraeuropee, non sorprende che, all’interno dell’Unione Europea, a questa imposizione normativa non sia mai stata data particolare importanza.
Tuttavia, le aziende che non rispettano questo requisito possono spesso incorrere in multe salate.
In questo articolo cerchiamo di rispondere ad alcune delle domande più frequenti sul rappresentante dell’UE.
Qual è il ruolo di un rappresentante dell’UE ai sensi del GDPR?
Come si è accennato, il ruolo di un rappresentante ai sensi del Regolamento generale sulla protezione dei dati (GDPR) è quello di fungere da punto di contatto tra l’organizzazione avente sede extra-UE, le autorità di protezione dei dati dell’UE e con le persone i cui dati personali sono trattati (cd. Interessati). Benché il rappresentante non sia responsabile della conformità dell’organizzazione al GDPR e può essere comunque tenuto a collaborare con le autorità di protezione dei dati e ad assisterle nello svolgimento dei loro compiti. Ciò include rispondere alle richieste di informazioni da parte di persone i cui dati personali sono trattati dall’organizzazione e fornire informazioni alle autorità di protezione dei dati quando richiesto. Il rappresentante dell’UE ha anche la responsabilità di garantire che l’organizzazione conservi i registri delle sue attività di trattamento e di metterli a disposizione delle autorità di protezione dei dati su richiesta.
La mia azienda dovrebbe nominare un rappresentante UE?
L’obbligo per un’azienda di nominare un rappresentante nell’UE ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dipende da diversi fattori. Il GDPR richiede alle organizzazioni con sede al di fuori dell’UE che:
- offrono beni o servizi a persone nell’UE, o
- che monitorano il comportamento di persone nell’UE,
di nominare un rappresentante nell’UE se non hanno una presenza fisica o uno stabilimento all’interno del territorio dell’Unione.
Secondo le linee guida dell’EDPB (linea guida 3/2018), ci sono diversi fattori che devono essere presi in considerazione per determinare se un’azienda sta offrendo i propri beni o servizi a persone in un particolare territorio all’interno dell’UE. Alcuni di questi fattori sono:
- utilizzare le lingue di una regione specifica o offrire pagamenti nella valuta di quella regione;
- l’utilizzo di annunci pubblicitari di Google, Facebook o TikTok per rivolgersi a un mercato specifico, o qualsiasi altra attività di marketing diretta ai clienti di quel mercato;
- l’utilizzo di domini di primo livello in tale mercato;
- l’offerta di consegna di merci a persone nella regione europea.
Inoltre, è importante notare che il GDPR si applica a organizzazioni di tutte le dimensioni, quindi anche se la vostra azienda è piccola, potreste essere tenuti a nominare un rappresentante.
È sempre meglio consultare un consulente legale per determinare se la vostra azienda è tenuta a nominare un rappresentante UE.
Cosa succede se non viene nominato un rappresentante nell’UE ai sensi del GDPR?
Un’organizzazione con sede al di fuori dell’UE che è tenuta a nominare un rappresentante ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e non lo fa, può essere soggetta a sanzioni. Il GDPR prevede una serie di sanzioni amministrative, tra cui multe fino a 20 milioni di euro o al 4% del fatturato annuo globale dell’organizzazione, a seconda di quale sia il valore più alto, per le violazioni di alcune disposizioni del GDPR. La mancata nomina di un rappresentante ,quando questa è obbligatoria, può essere sicuramente annoverata tra le violazioni sanzionate dal Regolamento. Inoltre, le autorità di protezione dei dati dell’UE possono intraprendere altre azioni esecutive nei confronti dell’organizzazione, come richiedere la nomina di un rappresentante o sospendere o vietare il trattamento dei dati personali. Per questo motivo è di cruciale importanza che tutte organizzazioni extra-UE valutino se sono soggette a questo obbligo e di regolino di conseguenza, nominando un rappresentante.
Come nominare un rappresentante nell’UE?
Per nominare un rappresentante ai sensi del Regolamento generale sulla protezione dei dati (GDPR), la vostra azienda può procedere procedendo con i seguenti steps:
- Identificare una persona o un’organizzazione con sede nell’Unione Europea (UE) che sia disposta e in grado di agire come rappresentante dell’UE della vostra azienda.
- Far firmare al rappresentante UE un mandato scritto che delinei l’ambito delle sue responsabilità e la durata dell’incarico.
- Conservate una copia del mandato, insieme a qualsiasi altro documento pertinente, come la prova dell’identità e della sede del rappresentante UE.
- Mettete a disposizione le informazioni di contatto del rappresentante UE della vostra azienda sul vostro sito web e nella vostra politica sulla privacy, e fornitele a qualsiasi persona o autorità di protezione dei dati che ne faccia richiesta.
È importante sottolineare che il rappresentante UE deve avere sede nell’UE e deve essere facilmente accessibile alle persone e alle autorità di protezione dei dati. Il rappresentante deve inoltre essere in grado di comunicare nella lingua o nelle lingue utilizzate dalle persone e dalle autorità con cui interagirà. È inoltre importante assicurarsi che il rappresentante dell’UE sia in grado di adempiere alle proprie responsabilità ai sensi del GDPR e abbia familiarità con le attività di trattamento dell’organizzazione. È sempre consigliabile consultare un consulente legale per assicurarsi che la nomina di un rappresentante UE da parte della vostra azienda sia conforme al GDPR.
Laureato presso l’Università di Roma Tor Vergata con una tesi su Nuove Tecnologie e Mercati Finanziari. Da allora ho continuato costantemente con la mia formazione grazie alle opportunità offerte da alcuni fra i più prestigiosi atenei al mondo. Vai al profilo