Il contratto di franchising è disciplinato in Messico dalla Legge sulla proprietà industriale la quale, tra le altre previsioni, stabilisce l’obbligo di attenersi alle disposizioni contenute nella Legge sulla protezione dei dati personali, emanata il 5 luglio 2010. Considerata infatti la natura del contratto di franchising, il trasferimento di dati personali tra franchisor e franchisee fa parte della sua stessa essenza.
Nel franchising messicano, franchisors e franchisees saranno data controllers(ossia titolari del trattamento) con riferimento a certi dati personali che processano: ad esempio, i franchisees saranno titolari del trattamento dei dati personali dei loro lavoratori subordinati. Inoltre, a seconda del grado di influenza che i franchisors esercitano sui franchisees, questi ultimi potrebbero anche essere considerati data processors (ossia responsabili del trattamento): è questo il caso dei dati relativi ai clienti, per i quali il franchisor assume il ruolo di data controller.
Nell’Unione europea la Data Protection è disciplinata dal Regolamento UE n. 679/2016 (noto come GDPR), operativo dal 25 maggio 2018. Ci si chiede: un franchisor europeo quali normative deve rispettare nel caso aprisse un franchising in Messico? Il GDPR, la legge messicana, o entrambe?
Il GDPR si applica:
1) quando il titolare o il responsabile del trattamento hanno uno stabilimento in UE e il trattamento è svolto nel contesto dell’attività di quello stabilimento, a prescindere dal fatto che il trattamento abbia ad oggetto i dati personali di persone fisiche presenti nell’Unione ovvero in Paesi terzi (ex art. 3 par. 1);
2) quando il titolare o il responsabile non sono stabiliti in UE e i dati personali riguardano interessati che si trovano nel territorio dell’Unione (ex art. 3 par. 2), purché ricorra almeno una delle seguenti condizioni:
I. il trattamento riguarda l’offerta di beni e servizi verso un Paese membro;
II. il trattamento riguarda il monitoraggio del comportamento degli interessati all’interno dell’UE.
Nell’ipotesi di un franchising in Messico, si avrà applicabilità del GDPR qualora il franchisor europeo venga riconosciuto quale titolare o responsabile del trattamento dei dati e tale trattamento sia svolto nel contesto dell’attività dello stabilimento, sebbene i dati riguardino persone fisiche presenti in Messico.
Qualora invece il titolare o il responsabile del trattamento abbia sede in Messico e tratti dati relativi a persone fisiche stabilite nel Paese, non si avrà applicabilità del GDPR, ma troverà applicazione la legge messicana sulla protezione dei dati personali.
È dunque di massima importanza stabilire quali siano i ruoli delle parti: chi è il data controller o il data processor nei vari scenari, o se le responsabilità sono condivise, in quanto questo sarà un fattore determinante per l’applicazione della normativa di riferimento e per la determinazione delle responsabilità in caso di violazioni.
Avv. Luca Davini
Avvocato in Milano e Torino
#focusMessico #franchising #dataprotection #GDPR #contrattiinternazionali #affariinternazionali