Il Regolamento Europeo Privacy UE/2016/679 si applica anche a tutti quei soggetti non residenti in Unione Europea, che in qualità di titolari del trattamento o responsabili del trattamento effettuano trattamenti di dati personali mediante una stabile organizzazione presente nel territorio di uno Stato Europeo o che, pur in assenza di una stabile organizzazione, trattano dati personali di interessati che si trovano all’interno dell’Unione Europea per lo svolgimento di attività di:
- offerta di beni o prestazione di servizi all’interno dell’Unione Europea
- monitoraggio del comportamento di interessati all’interno dell’Unione Europea
In tutti i suddetti casi la società o il gruppo multinazionale che non è stabilito nell’Unione Europea è ugualmente soggetto agli obblighi del Regolamento Europeo Privacy e per poter operare legalmente in Europa deve necessariamente designare un proprio “Rappresentante Privacy”.
Il Rappresentante Privacy deve obbligatoriamente essere:
- una persona fisica o una persona giuridica residente all’interno dell’Unione Europea.
- designato per iscritto dal titolare del trattamento o dal responsabile del trattamento mediante un contratto scritto.
- stabilito in uno degli Stati Membri in cui si trovano gli interessati e/o in cui i dati personali sono trattati.
- indicato chiaramente nell’informativa privacy.
Il Rappresentante Privacy ha il compito di rappresentare legalmente in Europa i titolari del trattamento o i responsabili del trattamento per quanto riguarda tutte le questioni relative a:
- obblighi in materia di protezione dei dati personali disciplinati dal Regolamento Europeo Privacy
- problematiche privacy
- rapporti con le autorità di controllo privacy
- relazioni con gli interessati
- istituzione e tenuta del Registro Privacy.
L’obbligo di designazione di un Rappresentante Privacy non si applica solo nel caso in cui il trattamento sia:
- occasionale, non includa dati sensibili o giudiziari e non presenti un rischio per i diritti e le libertà delle persone fisiche
- svolto da autorità pubbliche o organismi pubblici.
La designazione del Rappresentante Privacy non incide sulle responsabilità generali in materia di protezione dei dati personali in capo al titolare del trattamento o al responsabile del trattamento, tuttavia, il Rappresentante Privacy può essere soggetto a misure attuative in caso di inadempienza da parte del titolare del trattamento o del responsabile del trattamento, facendo salve in ogni caso le eventuali ulteriori azioni legali che potrebbero essere promosse contro lo stesso titolare del trattamento o responsabile del trattamento.
Nel caso in cui un titolare del trattamento o un responsabile del trattamento non residente all’interno dell’Unione Europea non provveda alla designazione di un proprio Rappresentante Privacy, potrà essere soggetto ad una Sanzione Amministrativa fino a € 10.000.000 o fino al 2% del suo Fatturato Mondiale ove superiore.
Dr. Eric Falzone – Data Protection Advisor – Partner EUCS