L’applicazione extraterritoriale del GDPR tra diritto europeo e diritto internazionale

La ricerca analizza se e in quale misura l’applicazione extraterritoriale del Regolamento generale sulla protezione dei dati personali (GDPR) possa giustificarsi alla luce del diritto internazionale pubblico. Dopo aver individuato i limiti che quest’ultimo pone all’esercizio della giurisdizione extraterritoriale, la ricerca ha applicato tali limiti al caso del GDPR, evidenziandone le criticità sotto il profilo della sua compatibilità con il diritto internazionale. A seguito dell’analisi, dunque, la questione giuridica che ne deriva è comprendere se l’UE mediante l’applicazione extraterritoriale del GDPR si ponga in violazione del diritto internazionale oppure se tale applicazione possa trovare giustificazione in altre basi normative rinvenibili nel diritto internazionale. Al fine di rispondere a tale interrogativo, la ricerca ha analizzato la prassi legislativa di dodici Stati extra UE. Da tale analisi è risultato che tutti gli ordinamenti considerati hanno adottato normative nazionali in materia di protezione dei dati personali dotate di un ambito di applicazione extraterritoriale. Alla luce dei risultati emersi, si può dunque rilevare una tendenza normativa tra gli ordinamenti esaminati ad attribuire portata extraterritoriale alla giurisdizione statale in materia di dati personali. La ricerca, dunque, ha valutato se tale prassi, pur nella sua eterogeneità ma con evidenti elementi comuni, possa essere giuridicamente qualificata alla luce del diritto internazionale, o se debba, invece, considerarsi una prassi meramente fattuale priva di rilevanza giuridica. Nell’ultimo capitolo, dunque, l’analisi si è concentrata sull’eventuale presenza di opinio juris. Dall’analisi è emerso che nessuno Stato ha sollevato obiezioni formali all’applicazione extraterritoriale del GDPR, tale mancanza di obiezioni, interpretata alla luce della giurisprudenza della Corte internazionale di giustizia potrebbe essere qualificata come acquiescenza degli Stati alla pretesa extraterritoriale dell’UE. La convergenza tra l’acquiescenza degli Stati e il progressivo allineamento legislativo che emerge dall’analisi della prassi potrebbe, secondo la teoria della pretesa e acquiescenza nella formazione del diritto consuetudinario, contribuire alla graduale emersione di una norma consuetudinaria circa l’applicazione extraterritoriale delle discipline nazionali in materia di regolamentazione dei dati personali. Pur non potendosi ancora affermare l’esistenza di una norma consuetudinaria consolidata, alla luce dei risultati si può ragionevolmente sostenere che il diritto internazionale generale in tema di giurisdizione stia conoscendo un’evoluzione significativa nell’ambito dell’ambiente digitale. In particolare, sembrerebbe emergere una tendenza normativa diffusa in un numero crescente di Stati a riconoscere la liceità e la necessità dell’applicazione extraterritoriale delle normative nazionali in materia di dati personali. Pertanto, appare plausibile sostenere che l’UE, mediante l’applicazione extraterritoriale del GDPR non violi il diritto internazionale. Piuttosto, essa si colloca in una prassi emergente che concorre alla formazione di una norma consuetudinaria in materia di applicazione extraterritoriale delle normative sulla regolamentazione dei dati personali, capace di rispondere alle esigenze specifiche poste dall’ambiente digitale. Tale collocazione potrebbe giustificare, in ultima analisi, l’applicazione extraterritoriale del GDPR alla luce del diritto internazionale.