Nel caso in cui un’organizzazione soggetta alla giurisdizione di un Paese terzo rispetto alla UE/SEE effettua un trattamento di dati personali che ricade nell’ambito applicativo del GDPR e non ha un proprio stabilimento nella UE, deve designare per iscritto un Rappresentante stabilito sul territorio dell’Unione (art. 27, GDPR), salvo limitate eccezioni. 

Il primo interrogativo che ci si pone in queste circostanze è quello di precisare quale sia l’ambito di responsabilità che viene ad assumere il Rappresentante UE.

Sintesi

Figura – La disciplina relativa al Rappresentante UE secondo il GDPR.

Ambito di responsabilità

L’ambito di responsabilità giuridica del Rappresentante si suddivide in:

• responsabilità per inadempimento contrattuale, derivante dall’eventuale violazione delle obbligazioni assunte con il contratto di mandato sottoscritto con l’impresa extra-UE
• responsabilità per violazione del GDPR imputabile al Rappresentante.

A. Responsabilità contrattuale per inadempimento del mandato

La responsabilità contrattuale ricorre nel caso di inadempimento delle clausole del contratto di mandato da parte del Rappresentante e produce effetti verso l’impresa estera rappresentata. Questa responsabilità potrà formare oggetto di regolamentazione nello stesso mandato e, in linea generale sussistendone i presupposti, può legittimare un’azione per risarcimento dei danni intentata dall’impresa estera contro il Rappresentante. 

B. Responsabilità per violazione del regolamento

Se, da un lato, la responsabilità contrattuale del Rappresentante non dà adito a perplessità, maggiori dubbi sussistono per quella derivante da violazione del regolamento, imputabile al Rappresentante. 

Responsabilità “vicaria” per violazioni dell’impresa extra-UE

In primo luogo, sembra da escludere una responsabilità del Rappresentante per eventuali non conformità del titolare o responsabile del trattamento (cioè dell’organizzazione estera rappresentata). Al di fuori delle limitate circostanze di responsabilità per violazione di obblighi che il GDPR impone direttamente al Rappresentante, come indicato di seguito, quest’ultimo non sembra suscettibile di sanzione per non conformità al regolamento da parte dell’impresa rappresentata. Come rilevato dall’EDPB, «(i)l GDPR non stabilisce una responsabilità vicaria del rappresentante rispetto al titolare o al responsabile del trattamento che egli rappresenta nell’Unione.» (linee guida 3/2018); nel senso che il Rappresentante non risponde nè in solido nè in subentro per eventuali non conformità dell’impresa rappresentata. 

Posizione dell’EDPB

In questo senso, appaiono emblematiche le modifiche apportate dall’EDPB nella versione 2.0 del 12/11/2019 delle proprie linee guida 3/2018, a seguito della consultazione pubblica. La prima versione del documento conteneva un ultimo paragrafo che recitava come segue: «It should however be noted that the concept of the representative was introduced precisely with the aim of ensuring enforcement of the GDPR against controllers or processors that fall under Article 3(2) of the GDPR. To this end, it was the intention to enable enforcers to initiate enforcement action against a representative in the same way as against controllers or processors. This includes the possibility to impose administrative fines and penalties, and to hold representatives liable.» (enfasi aggiunte). 

La versione 2.0, adottata dopo la consultazione pubblica, sul punto corregge il testo come segue: «It should however be noted that the concept of the representative was introduced precisely with the aim of facilitating the liaison with and ensuring effective enforcement of the GDPR against controllers or processors that fall under Article 3(2) of the GDPR. To this end, it was the intention to enable supervisory authorities to initiate enforcement proceedings through the representative designated by the controllers or processors not established in the Union. This includes the possibility for supervisory authorities to address corrective measures or administrative fines and penalties imposed on the controller or processor not established in the Union to the representative, in accordance with articles 58(2) and 83 of the GDPR. The possibility to hold a representative directly liable is however limited to its direct obligations referred to in articles 30 and article 58(1) a of the GDPR» (enfasi aggiunte).

Posizione dell’Alta Corte inglese

In senso analogo a quello dell’EDPB, si è pronunciata la High Court inglese, con sentenza del  28/05/2021, la quale ha chiaramente indicato che il rappresentante dell’UE non è responsabile della non conformità dei trattamenti del titolare o responsabile da esso rappresentati. Secondo i giudici dell’Alta Corte non vi è alcun fondamento giuridico per intentare l’azione contro il Rappresentante UE (nel caso, Lexisnexis) del Titolare del trattamento (WorldCo), cosicchè la domanda è stata rigettata.