You are currently viewing A quale tipo di trattamento si applica il GDPR?

A quale tipo di trattamento si applica il GDPR?

Spesso ci chiediamo se un certo tipo di trattamento di dati che effettuiamo sia soggetto al GDPR o meno. Ebbene nella maggior parte dei casi la risposta è affermativa.

Gli articoli 2 e 3 del GDPR ci spiegano quali trattamenti sono soggetti alla normativa in oggetto sia dal punto di vista materiale che territoriale:

  • trattamenti interamente o parzialmente automatizzati dei dati personali;
  • trattamenti non automatizzati di dati personali contenuti in archivio. 
  • trattamenti di dati personali effettuati da un titolare del trattamento o responsabile del trattamento che risiede nell’Unione, indipendentemente dal fatto che il trattamento stesso sia effettuato o meno nell’UE;
  • trattamenti di dati personali di persone fisiche (interessati) che si trovano nell’Unione, effettuato da un titolare o responsabile del trattamento al di fuori dell’Unione quando offrono beni e servizi ai residenti UE e/o monitorano il comportamento dei residenti UE.

A quali trattamenti non si applica il GDPR?

I casi in cui invece, non si applica il GDPR sono:

  • trattamenti relativi ad attività che non sottostanno al diritto dell’Unione;
  • trattamenti effettuati da una persona fisica per attività personali o domestiche;
  • trattamenti effettuati dalle autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati;
  • trattamenti riguardanti la politica estera e di sicurezza comune.

Semplificando al massimo, possiamo dire che il GDPR si applica ogni volta che ho un’offerta di beni o la prestazione di servizi a interessati nell’Unione, anche se si tratta di beni o servizi gratuiti.

Esempi 

  • Un sito e-commerce cinese vende i suoi prodotti anche in Italia (ovviamente raccogliendo i dati degli acquirenti). Si applica il GDPR? SI, in quanto i dati raccolti sono di persone residenti sul territorio UE e l’azienda anche se ha sede in Cina offre servizi ai residenti UE.
  • Sto organizzando la festa per il mio compleanno e desidero invitare personalmente anche tutti i rispettivi fidanzati dei miei amici. A questo proposito chiedo i numeri di telefono e mando via messaggio l’invito a tutti loro. Si applica il GDPR? NO, in quanto il trattamento che ho effettuato è esclusivamente a carattere personale e domestico.
  • Un sito e-commerce con sede in Australia vende i suoi prodotti negli Stati Uniti, raccogliendo i dati degli acquirenti che potrebbero anche essere di cittadinanza europea. Si applica il GDPR? NO, in quanto i beni non sono venduti nell’UE e quindi non si applica il diritto UE.
  • Il mio commercialista con sede a Roma tratta i miei dati per fare la mia dichiarazione dei redditi. Si applica il GDPR? SI, in quanto i dati trattati sono di un cittadino residente sul territorio europeo, il trattamento viene effettuato nel territorio europeo da un responsabile residente nel territorio europeo quindi pienamente soggetto alla normativa comunitaria.

Veronica Mandrila

Consulente privacy e tecnico dei sistemi informativi aziendali. Libera professionista dal 2015. Segue i percorsi di formazione e le fasi di assessment dei dati presso le aziende.