A chi si applica il GDPR?

Il GDPR innanzitutto si applica solo ai dati personali di persone fisiche, non si applica di conseguenza ai trattamenti riguardanti persone giuridiche, come sottolineato al primo punto dell’articolo 2 del regolamento.

Sempre l’art. 2 del regolamento prevede alcune esclusioni, in particolare il GDPR non si applica a quei trattamenti che:

  1. Effettuati da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico.
  2. Effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
  3. Effettuati dagli stati membri e riguardanti le politiche estere e di sicurezza comune contenute al titolo V capo 2 del TUE.
  4. effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’unione.

 

L’art. 3 definisce poi l’ambito territoriale di applicazione del GDPR : sono sottoposti alla disciplina quei trattamenti che  siano effettuati da un titolare (cioè colui che determina finalità e modalità del trattamento) o da un responsabile del trattamento (cioè il soggetto che tratta i dati per conto del titolare) che:

  1. Sia stabilito in uno stato membro
  2. Pur non essendo stabilito nel territorio dell’Unione (gli esempi più immediati sono le grandi multinazionali del web, come Google o Facebook, le quali, pur avendo sede negli USA e quindi al di fuori del territorio dell’Unione Europea) esegua trattamenti di dati che riguardano interessati che si trovano nell’Unione (è dunque sufficiente che l’interessato si trovi fisicamente sul territorio dell’unione europea, senza nessun vincolo riguardante la sua nazionalità o residenza formale) quando questo riguarda l’offerta di beni o la prestazione di sevizi o il monitoraggio del comportamento di questi (ad esempio come vviene in caso di profilazione).