Versione HTML di base
(23) Onde evitare che una persona fisica venga privata della protezione cui ha diritto in base al presente regolamento,
è opportuno che questo disciplini il trattamento dei dati personali degli interessati che si trovano nell'Unione
effettuato da un titolare del trattamento o da un responsabile del trattamento non stabilito nell'Unione, quando le
attività di trattamento sono connesse all'offerta di beni o servizi a detti interessati indipendentemente dal fatto
che vi sia un pagamento correlato. Per determinare se tale titolare o responsabile del trattamento stia offrendo
beni o servizi agli interessati che si trovano nell'Unione, è opportuno verificare se risulta che il titolare o il
responsabile del trattamento intenda fornire servizi agli interessati in uno o più Stati membri dell'Unione. Mentre
la semplice accessibilità del sito web del titolare del trattamento, del responsabile del trattamento o di un interme
diario nell'Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l'impiego di una lingua
abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare
tale intenzione, fattori quali l'utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati
membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si
trovano nell'Unione possono evidenziare l'intenzione del titolare o del responsabile del trattamento di offrire beni
o servizi agli interessati nell'Unione.
(24) È opportuno che anche il trattamento dei dati personali degli interessati che si trovano nell'Unione ad opera di un
titolare del trattamento o di un responsabile del trattamento non stabilito nell'Unione sia soggetto al presente
regolamento quando è riferito al monitoraggio del comportamento di detti interessati, nella misura in cui tale
comportamento ha luogo all'interno dell'Unione. Per stabilire se un'attività di trattamento sia assimilabile al
controllo del comportamento dell'interessato, è opportuno verificare se le persone fisiche sono tracciate su
internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella
profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o
prevederne le preferenze, i comportamenti e le posizioni personali.
(25) Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale pubblico, ad esempio nella rappre
sentanza diplomatica o consolare di uno Stato membro, il presente regolamento dovrebbe applicarsi anche a un
titolare del trattamento non stabilito nell'Unione.
(26) È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica
identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a
una persona fisica mediante l'utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una
persona fisica identificabile. Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi,
come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare
detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi
per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i
costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del
trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a
informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identifi
cabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione
dell'interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime,
anche per finalità statistiche o di ricerca.
(27) Il presente regolamento non si applica ai dati personali delle persone decedute. Gli Stati membri possono
prevedere norme riguardanti il trattamento dei dati personali delle persone decedute.
(28) L'applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari
del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L'introduzione
esplicita della «pseudonimizzazione» nel presente regolamento non è quindi intesa a precludere altre misure di
protezione dei dati.
(29) Al fine di creare incentivi per l'applicazione della pseudonimizzazione nel trattamento dei dati personali,
dovrebbero essere possibili misure di pseudonimizzazione con possibilità di analisi generale all'interno dello
stesso titolare del trattamento, qualora il titolare del trattamento abbia adottato le misure tecniche e organizzative
necessarie ad assicurare, per il trattamento interessato, l'attuazione del presente regolamento, e che le
informazioni aggiuntive per l'attribuzione dei dati personali a un interessato specifico siano conservate separa
tamente. Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare le persone
autorizzate all'interno dello stesso titolare del trattamento.
4.5.2016
L 119/5
Gazzetta ufficiale dell'Unione europea
IT