Answer
Risposta
Il regolamento si applica a:
- un’azienda o ente che tratta dati personali nell’ambito delle attività di una delle sue filiali stabilite nell’UE, indipendentemente dal luogo in cui i dati sono trattati;
- un’azienda stabilita al di fuori dell’UE e che offre beni/servizi (a pagamento o gratuiti) o monitora il comportamento delle persone nell’UE.
Se la tua azienda è una piccola o media impresa (PMI) che tratta i dati personali come descritto sopra, dovrai assicurarti di rispettare il regolamento. Tuttavia, se il trattamento dei dati personali non è una parte essenziale della tua attività e quest’ultima non crea rischi per le persone, alcuni obblighi del GDPR non si applicheranno alla tua azienda (ad esempio, la nomina di responsabile della protezione dei dati). Ricorda che tra le «attività essenziali» rientrano le attività in cui l’elaborazione di dati costituisce una parte fondamentale dell’attività del titolare o del responsabile del trattamento.
Esempi
Quando si applica il regolamento
La tua è una piccola azienda di istruzione superiore che opera online con uno stabilimento che ha sede al di fuori dell’UE e che si rivolge principalmente alle università di lingua spagnola e portoghese dell’UE. La tua azienda offre consulenza gratuita su alcuni corsi universitari e gli studenti devono avere un nome utente e una password per accedere al materiale online. La tua azienda fornisce il nome utente e la password quando gli studenti compilano un modulo di iscrizione.
Quando non si applica il regolamento
La tua azienda ha sede al di fuori dell’UE e fornisce servizi a clienti al di fuori dell’Unione. I clienti possono utilizzarne i servizi quando viaggiano in altri paesi, anche all’interno dell’UE. A condizione che la tua azienda non rivolga specificamente i suoi servizi a persone fisiche nell’UE, non è soggetta alle norme del regolamento.