|
|
|
|
|
Gentili Colleghe, Egregi Colleghi,
|
di seguito troverete alcuni spunti e aggiornamenti in merito a questioni di rilevanza per i notai e per il nostro Ordine.
|
Da ultimo, rileviamo che, nel corso degli ultimi mesi, il Consiglio dell’Ordine ha ricevuto in alcune occasioni richieste di chiarimento sull’eventuale rilevanza del Regolamento generale sulla protezione dei dati dell’UE (noto con l’acronimo “GDPR”), entrato in fase attuativa il 25 maggio del 2018, con riferimento alla specifica attività del notaio ticinese. Abbiamo pertanto svolto delle ricerche al riguardo, che riassumiamo nel seguito, giungendo alla conclusione che l’attività notarile, per sua natura, comporta un rischio di assoggettamento molto limitato. Si rende attento il lettore che l’eventuale attività di avvocato svolta dal notaio oppure dai suoi colleghi di Studio non viene qui considerata (sul tema si rinvia alle comunicazioni OATi).
|
L’ambito di applicazione extra - territoriale del GDPR è regolato all’art. 3 cpv. 2. In base a tale norma, il GDPR si applica al soggetto stabilito all’estero che:
|
|
(i) tratta dati personali di persone fisiche che si trovano nell'UE; e
|
|
(ii) le attività di trattamento riguardano:
|
|
a) l'offerta di beni o servizi alle suddette persone fisiche nell’UE, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure
|
b) il monitoraggio del comportamento delle suddette persone fisiche nell’UE nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
|
|
Premettiamo che in data 16 novembre 2018, il Comitato per la protezione dei dati (“EDPB”) ha posto in consultazione un documento in lingua inglese denominato “Guidelines 3/2018 on the territorial scope of the GDPR”, con il quale l’EDPB intende rendere pubblica la propria interpretazione dell’art. 3 GDPR, illustrando, in particolare, i criteri di “stabilimento” e “offerta diretta” alla base del GDPR (la “Guida”).
|
La Guida, seppur non sia ancora stata approvata in maniera definitiva, ci permette di trarre le seguenti considerazioni generali:
|
- la delega di attività di trattamento di dati a un responsabile del trattamento stabilito nell’UE (ad es. hosting provider, fornitore di servizi di Cloud Computing e simili) non comporta di per sé l’assoggettamento al GDPR;
- l'impiego di personale domiciliato nell’UE (frontalieri) non determina di per sé l’assoggettamento al GDPR;
- il semplice fatto di “avere” (passivamente) clienti (persone fisiche) domiciliati nell’UE non implica di per sé l’assoggettamento al GDPR, in assenza di un’intenzione (attiva) di offrire beni o servizi diretta a persone fisiche nell’UE;
- sul tema dell’offerta diretta (attiva) di beni o servizi, la Guida prevede una lista di fattori (non cumulativi) che possono indicare un tale intenzione (attraendo il GDPR):
- designazione di uno Stato UE in relazione al bene o servizio;
- attività di marketing e pubblicità rivolte a consumatori europei, incluse le strategie di posizionamento sui motori di ricerca;
- la natura intrinsecamente internazionale dell’attività;
- l’indicazione di indirizzi o numeri di telefono dedicati per il mercato europeo;
- l’uso di domini web europei;
- l’indicazione di istruzioni di viaggio dall’UE;
- il riferimento ad una clientela europea, ad esempio tramite racconti di clienti europei;
- l’uso di una lingua o una divisa europea non generalmente utilizzata nello Stato di sede dell’impresa;
- l’offerta di consegnare beni in uno Stato dell’UE;
- sul tema del monitoraggio del comportamento di persone fisiche nell’UE, lo stesso avviene in genere tramite gli strumenti informatici, i siti web e i media sociali; si raccomanda di far verificare a personale tecnico – informatico l’esistenza di un tale monitoraggio, dando particolare attenzione ai cookie implementati sul sito dello Studio (stringhe di codice suscettibili di monitorare l’uso del web), i widget (bottoni di condivisione dei social media) e le newsletter intelligenti (comunicazioni commerciali che tracciano la lettura del destinatario), ponendo in essere le misure del caso.
In conclusione, considerate le peculiarità dell’attività notarile, che è strettamente legata al territorio svizzero e all’utenza locale, come pure le regole deontologiche che impongono severe limitazioni sulle attività pubblicitarie e di marketing, riteniamo che il rischio di assoggettamento al GDPR per le attività strettamente notarili sia molto ridotto. Nondimeno, soprattutto per la parte tecnica – IT, consigliamo di far valutare l’esistenza o meno di attività di monitoraggio da parte di terze parti (es. Google o Facebook), che potrebbero essere state implementate dai tecnici ai fini analitico-statistici del traffico web senza coinvolgimento del notaio.
|
Cordiali e collegiali saluti
|
Il Consiglio dell'Ordine dei Notai
|
|
|
|
|
|
|
|
|
