Temi

Shape 5 Live Search

logo

La normativa di cui al nuovo regolamento europeo in materia di protezione dei dati personali e la relativa normativa di attuazione nazionale (codice per la protezione dei dati personali) si applica in base a due principi:
- il principio di stabilimento; 
il principio di ubicazione degli strumenti elettronici.

In base ai medesimi principi si decide quale è l'autorità di controllo competente in merito ad un trattamento di dati.

 

Direttiva europea

Il principio di stabilimento (articolo 52 e seguenti del Trattato CE) prevede che un'azienda "stabilita" in un certo paese e che elabora dati nel contesto di tale stabilimento, è soggetta alla giurisdizione del paese di stabilimento. La nozione di stabilimento, quindi, è legata ad un'organizzazione stabile che svolge una attività economica a tempo indeterminato (si tratta del medesimo principio applicato dall'Agenzia delle Entrate italiana). I dati, quindi, possono anche essere detenuti all'estero, purché il soggetto che li tratta sia stabilito nel territorio nazionale. 

Qualora il trattamento sia effettuato da un soggetto extra-UE, questi è obbligato a nominare un rappresentante stabilito nel territorio dove sono ubicati gli strumenti elettronici, a meno che tali strumenti non siano utilizzati per mero transito. Un caso classico è quello dei cookie (vedi cookie law), che vengono installati sui computer degli utenti, che sono strumenti elettronici che si trovano fisicamente nel territorio dello Stato europeo, e quindi si tratta di trattamento effettuato all'interno dell'Unione dal quale sorge l'obbligo di nominare un rappresentante nello Stato membro. 
Il principio di ubicazione degli strumenti elettronici, quindi, sovviene in seconda battuta ad evitare possibili elusioni del principio di stabilimento. 

Il limite della normativa prevista dalla direttiva europea e sopra menzionata, sta nell'escludere l'applicabilità della normativa europea ai trattamenti effettuati da chi ha stabilimento al di fuori dell'Unione e sostiene di non compiere trattamenti di dati nel territorio dell'Unione. E' il caso delle aziende tecnologiche americane che per anni hanno sostenuto di avere nell'Unione solo agenzia di vendita commerciale di servizi che non operano nessun trattamento. 

 

Sentenze della CGUE

Questa linea di difesa ha cominciato a cedere col Parere n. 8/2010 del Gruppo Articolo 29 e la sentenza Google Spain della Corte di Giustizia europea. La Corte di Giustizia ha, infatti, affermato che anche solo la vendita di servizi configura un trattamento dati e quindi comporta l'applicabilità della normativa europea. 

Infine, con la sentenza C-230/14 (sentenza Weltimmo), la Corte di Giustizia europea ha sancito ulteriormente che la forma giuridica di stabilimento (cioè il rappresentante nel territorio nazionale) non è il fattore predominante per decidere sulla giurisdizione
In pratica occorre verificare se: 
- l'azienda esercita un'attività reale anche minima; 
- l'attività viene realizzata mdiante un'organizzazione stabile;
- i dati sono trattati nel contesto di tale attività. 
In presenza di tali requisiti l'azienda è soggetta alla giurisdizione dello Stato nel quale esercita tale attività. 

La CGUE fornisce indicazioni su una serie di fattori da tenere in considerazioni. Deve essere, quindi, valutato il contesto nel quale viene esercitata l'attività. Per un servizio commerciale online, ad esempio, sono fattori cruciali la lingua nella quale è redatto il sito, e l'utenza alla quale si rivolge. Anche l'apertura di un conto bancario in un determinato Stato ha rilievo. 

Di recente anche il Garante italiano (provvedimento 11 febbraio 2016), applicando la sentenza Weltimmo, ha sancito che Facebook Italy, la quale svolge solo attività di marketing per conto di Facebook Ireland, pur non esercitando alcun trattamento di dati, i quali sono trattati nella sede irlandese, svolge comunque attività connesse economicamente con Facebook Ireland e quindi la competenza si radica nel territorio dello Stato italiano. 

Per i trattamenti transfrontalieri è competente l'autorità di controllo del paese di stabilimento principale o dello stabilimento unico del titolare o responsabile del trattamento, la quale agisce come capofila nel controllo del flusso dei dati. Nel caso di reclami o controversie sorte in altro paese l'autorità di controllo locale informa l'autorità di controllo capofila in merito alla questione. Entro il termine di 3 settimane la capofila decide se trattare il caso o meno. Se la capofila decide di trattare il caso si applica l'articolo 60 del regolamento generale europeo, e le autorità nazionali coinvolte cooperano tra loro. In caso contrario il caso viene trattato dall'autorità di controllo locale che ha investito la capofila. 

 

GDPR

Il nuovo Regolamento Generale recepisce l'orientamento della Corte di Giustizia e il Parere del Gruppo Articolo 29 con l'articolo 3:  

Ambito di applicazione territoriale
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. 
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. 

Pur mantenendo il principio di stabilimento, e quindi con riferimento alla presenza di strumenti elettronici nel territorio dell'Unione, oggi si guarda  anche ai soggetti destinatari dei servizi e beni offerti dall'azienda per stabilire la soggezione alla normativa europea. Quindi, anche le società che si trovano al di fuori dell'UE ma che tuttavia elaborano dati personali dei residenti nell'UE nel contesto di attività di profilazione saranno soggette al GDPR. 

Il Considerando 23 ritiene rilevanti, a tale scopo, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione.