GDPR o Legge 1.565? Cosa devono davvero rispettare le imprese monegasche

Due quadri normativi, una sola impresa

La maggior parte degli imprenditori monegaschi con cui parliamo dà per scontato di rientrare nel GDPR. Non è così, almeno non in modo automatico. Monaco non è uno Stato membro dell'Unione Europea, il GDPR è un regolamento dell'UE, e il Principato dispone di una propria normativa: la Legge n. 1.565 del 3 dicembre 2024, vigilata dall'APDP (Autorité de Protection des Données Personnelles).

La realtà però è più sfumata. Molte imprese monegasche devono in pratica rispettare contemporaneamente la Legge 1.565 e il GDPR, per parti diverse della stessa attività. Se vendete a clienti in Francia, gestite un sito multilingue rivolto all'Italia o archiviate i dati presso un hosting francese, siete entrati nel campo d'applicazione della normativa europea, ne siate consapevoli o meno.

Questo articolo offre una lettura pratica: quale quadro si applica, quando e con quali conseguenze su sito web, CRM e operazioni digitali.

Quando basta la Legge 1.565

La Legge 1.565 disciplina il trattamento dei dati personali svolto nell'ambito di attività stabilite a Monaco. Se la vostra impresa opera esclusivamente nel Principato — clienti monegaschi, personale residente, infrastruttura ospitata a Monaco, nessuna comunicazione mirata a residenti UE — allora la Legge 1.565 è l'obbligo principale e l'APDP è la vostra autorità di riferimento.

Il quadro è ispirato agli standard europei. Disciplina la base giuridica del trattamento, i diritti degli interessati, il registro delle attività di trattamento, la notifica delle violazioni e la nomina di un responsabile della protezione dei dati per certe categorie di imprese. La struttura risulterà familiare a chi ha lavorato con il GDPR.

Quel che cambia è la giurisdizione. L'APDP applica il diritto monegasco a Monaco. I reclami dei residenti monegaschi vanno all'APDP, non al Garante italiano né alla CNIL francese. La vostra documentazione interna — informative, registri, prove del consenso — deve fare riferimento alla Legge 1.565 e all'APDP, non al GDPR.

Quando il GDPR si aggiunge alla Legge 1.565

Il GDPR ha una portata extraterritoriale. L'articolo 3 lo rende applicabile a imprese fuori dall'UE quando queste:

• Offrono beni o servizi a persone situate nell'UE — anche gratuitamente e anche senza pagamento.
• Monitorano il comportamento di persone nell'UE — tipicamente tramite analytics, retargeting o profilazione.

Per un'impresa monegasca entrambe le ipotesi sono estremamente comuni. Un ristorante a Monaco che accetta prenotazioni dai residenti francesi tramite il proprio sito offre un servizio a persone situate nell'UE. Un e-commerce monegasco che spedisce in Italia offre beni. Un'agenzia immobiliare che lancia campagne di retargeting Meta verso acquirenti europei sta monitorando un comportamento.

Quando il GDPR si applica in via extraterritoriale, va rispettato in aggiunta alla Legge 1.565 e potreste essere tenuti a nominare un rappresentante nell'UE ai sensi dell'articolo 27 — un ruolo giuridico distinto dal DPO. Molte imprese monegasche non lo hanno fatto semplicemente perché si ritengono fuori dal perimetro UE.

In pratica, il punto di partenza è una revisione di conformità alla protezione dei dati e un'analisi di tutti i form, tag e integrazioni di terze parti presenti sul vostro sito.

Trasferimenti transfrontalieri: il rischio silenzioso

Anche le imprese puramente locali finiscono per trasferire dati personali fuori da Monaco. I flussi più frequenti:

• Fornitori cloud o SaaS con sede nell'UE — molti CRM, piattaforme di email marketing, hosting e strumenti di analytics sono gestiti da Francia, Germania, Irlanda o Paesi Bassi.
• Marketing transfrontaliero — Meta, Google e LinkedIn trattano i dati pubblicitari attraverso infrastrutture europee e statunitensi.
• Prestatori di servizi di pagamento — la maggior parte di quelli usati dai commercianti monegaschi opera dall'UE o dallo SEE.

La Legge 1.565 disciplina i trasferimenti internazionali, in particolare verso Paesi che non offrono un livello di protezione adeguato. Senza una mappatura dei flussi, è impossibile dimostrare la conformità a queste regole. Una strategia digitale ben impostata tratta la mappatura come obiettivo del primo mese, non come compito annuale.

Anche i contratti contano. Se utilizzate una piattaforma terza che tratta dati per vostro conto — CRM, sistema di prenotazione, strumento di email marketing — di norma serve un contratto di trattamento e, a seconda del flusso, garanzie aggiuntive per il trasferimento.

E-commerce e siti multilingue: il punto di svolta

L'e-commerce è il settore in cui le imprese monegasche finiscono più spesso pienamente nel perimetro del GDPR. Se il vostro shop spedisce in Francia, Italia o Germania, siete quasi certamente soggetti sia alla Legge 1.565 sia al GDPR per quelle interazioni con i clienti.

Le conseguenze pratiche:

• L'informativa privacy deve coprire entrambi i quadri, senza fingere che uno dei due non esista.
• Il banner cookie deve rispettare gli standard UE se vi rivolgete a residenti europei: rifiutare i cookie non essenziali deve essere facile quanto accettarli.
• Le richieste di esercizio dei diritti possono arrivare attraverso entrambi i quadri e il processo di risposta deve essere pronto per ognuno.

Per i servizi e-commerce e i siti multilingue la conformità va integrata nella costruzione. Aggiungere banner cookie e pagine privacy a sito già lanciato costa sistematicamente di più che farlo bene dall'inizio.

Gli errori più ricorrenti

Negli audit che svolgiamo, alcuni schemi si ripetono:

• Informative privacy copiate da modelli francesi che citano la CNIL e il GDPR, ma non la Legge 1.565 né l'APDP.
• Banner cookie teoricamente conformi, che però attivano pixel analytics e pubblicitari al primo caricamento della pagina.
• Riferimenti obsoleti alla CCIN — l'autorità precedente sostituita dall'APDP — in documenti che avrebbero dovuto essere aggiornati.
• Nessun registro dei trattamenti, pur trattando un volume di dati personali che chiaramente lo richiede.
• Nessun rappresentante UE in casi in cui l'articolo 27 del GDPR si applica con evidenza.

Nessuno di questi punti è complesso da correggere. Diventano costosi quando arriva un reclamo o un cliente chiede l'accesso ai propri dati e l'azienda non ha un processo documentato.

Una nota sul parere legale

Questo articolo è un orientamento pratico, non un parere legale. La Legge 1.565 è recente, l'APDP sta costruendo la propria prassi e l'interazione con il GDPR dipende dalla vostra situazione concreta. Per indicazioni vincolanti, rivolgetevi a un legale qualificato in diritto monegasco e nella regolamentazione UE. Il nostro ruolo è portare il vostro sito, il CRM e i touchpoint digitali in uno stato in cui la conformità sia operativamente possibile; l'interpretazione giuridica resta competenza del professionista del diritto.

Da dove partire

Se non sapete se la vostra impresa monegasca ricade solo nella Legge 1.565 o anche nel GDPR, la via più rapida è un audit dei flussi: elencate ogni strumento digitale che tratta dati personali, identificate dove ciascuno processa e archivia i dati e verificate cosa prevedono i contratti sottostanti. Da lì, informativa, banner cookie e DPO si possono allineare alla realtà, non alle supposizioni.

BSS Digital Agency aiuta le imprese monegasche a portare siti web, piattaforme e-commerce e operazioni di marketing in uno stato in cui la conformità sia concreta e dimostrabile. Per una revisione strutturata della vostra situazione, contattateci e definiremo insieme il perimetro.