Per perseguire agevolmente l’entità extra-UE che effettua attività soggette all’applicazione del GDPR, il regolamento impone l’obbligo di nominare preventivamente un proprio rappresentante stabilito nello Stato membro di riferimento, il quale potrà agire in tutte le questioni data protection che riguardino l’entità rappresentata. Richieste di informazioni e di documentazione, ordini e prescrizioni, potranno essere dirette alla entità extra-UE nella persona del proprio rappresentante nello Stato, ferme restando le responsabilità di titolare e responsabile.
Quando è dovuta tale nomina La nomina di un proprio rappresentante sul territorio UE [Considerando (80) ed art. 27] è prescritto per l’azienda
- titolare o responsabile
- che non abbia uno stabilimento nello spazio Ue
- che tratta dati personali di interessati che si trovano nell’Unione
- le cui attività di trattamento sono connesse all’offerta di beni o alla prestazione di servizi a tali interessati nell’Unione o al controllo del loro comportamento all’interno dell’Unione
Quando l'obbligatorietà della nomina è esclusa L’obbligatorietà è esclusa se
- il trattamento è occasionale,
- non include il trattamento, su larga scala, di dati “sensibili” o “giudiziari” ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell’ambito di applicazione e delle finalità del trattamento
- il titolare del trattamento è un’autorità pubblica o un organismo pubblico.
Modalità ed effettiIl rappresentante può essere sia un individuo che un’azienda, esso è designato mediante mandato scritto, ed agisce per conto del titolare o del responsabile con riguardo agli obblighi che a questi derivano dal regolamento.
La designazione del rappresentante non incide sulla responsabilità generale del titolare o del responsabile ai sensi del regolamento.
