Competenza territoriale e principio di stabilimento

Competenza territoriale e principio di stabilimento

La normativa di cui al nuovo regolamento europeo in materia di protezione dei dati personali e la relativa normativa di attuazione nazionale (codice per la protezione dei dati personali) si applica anche ad aziende non europee non aventi sede in Europa.

A seguito di una lenta evoluzione si è giunti alla disciplina del nuovo Regolamento Generale che stabilisce l'ambito di applicazione territoriale con l'articolo 3:  

Ambito di applicazione territoriale
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. 
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. 

Il primo riferimento è al principio di stabilimento introdotto con la normativa precedente al GDPR (articolo 52 e seguenti del Trattato CE) il quale prevede che un'azienda "stabilita" in un certo paese e che elabora dati nel contesto di tale stabilimento è soggetta alla giurisdizione del paese di stabilimento. La nozione di stabilimento, quindi, è legata ad un'organizzazione stabile che svolge una attività economica a tempo indeterminato (si tratta del medesimo principio applicato dall'Agenzia delle Entrate italiana) senza che abbia alcun rilievo la forma giuridica assunta nè se è una succursale o una filiale. I dati, quindi, possono anche essere detenuti all'estero, purché il soggetto che li tratta sia stabilito nel territorio nazionale. In base al Considerando 22 "lo stabilimetno implica l'effettivo e reale svolgimento di attività nel quadro di un'organizzazione stabile", è irrilevante la forma giuridica assunta, sia essa una succursale o una filiale. Il Considerando 23 ritiene rilevanti, a tale scopo, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione. La CGUE fornisce indicazioni su una serie di fattori da tenere in considerazione, cioè deve essere valutato il contesto nel quale viene esercitata l'attività. Per un servizio commerciale online, ad esempio, sono fattori cruciali la lingua nella quale è redatto il sito, e l'utenza alla quale si rivolge. Anche l'apertura di un conto bancario in un determinato Stato ha rilievo. 

Ovviamente il principio di stabilimento implica la rilevanza degli strumenti elettronici nel territorio dell'Unione (un caso classico è quello dei cookie che vengono installati sui dispositivi degli utenti che si trovano fisicamente nel territorio dello Stato europeo), ma oggi si guarda ai soggetti destinatari dei servizi e beni offerti dall'azienda (cioè gli interessati) per stabilire l'assoggettamento alla normativa europea. Quindi, anche le società che si trovano al di fuori dell'UE ma che tuttavia elaborano dati personali di soggetti che si trovano nel territorio dell'Unione europea (è irrilevante se cittadini, residenti o meno) dovranno conformarsi alle norme del  GDPR. 

Il GDPR ha recepito le sentenze della Corte di Giustizia europea e i pareri del Gruppo Articolo 29. In particolare il limite della normativa europea precedente al GDPR stava nell'escludere l'applicabilità ai trattamenti effettuati da chi ha stabilimento al di fuori dell'Unione e sostiene di non compiere trattamenti di dati nel territorio dell'Unione. E' il caso delle aziende tecnologiche americane che per anni hanno sostenuto di avere nell'Unione solo agenzie di vendita commerciale di servizi  che, quindi, non operano nessun trattamento. 

Questa linea di difesa ha cominciato a cedere col Parere n. 8/2010 del Gruppo Articolo 29 e la sentenza Google Spain della Corte di Giustizia europea. La Corte di Giustizia ha, infatti, affermato che anche solo la vendita di servizi configura un trattamento dati e quindi comporta l'applicabilità della normativa europea. Infine, con la sentenza C-230/14 (sentenza Weltimmo), la Corte di Giustizia europea ha sancito ulteriormente che la forma giuridica di stabilimento (cioè il rappresentante nel territorio nazionale) non è il fattore predominante per decidere sulla giurisdizione, ma occorre verificare se: 
- l'azienda esercita un'attività reale anche minima; 
- l'attività viene realizzata mediante un'organizzazione stabile;
- i dati sono trattati nel contesto di tale attività. 
In presenza di tali requisiti l'azienda è soggetta alla giurisdizione dello Stato nel quale esercita tale attività. 

Anche il Garante italiano (provvedimento 11 febbraio 2016), in applicazione della sentenza Weltimmo, ha sancito che Facebook Italy, la quale svolge solo attività di marketing per conto di Facebook Ireland, pur non esercitando alcun trattamento di dati (che sono trattati nella sede irlandese) svolge comunque attività connesse economicamente con Facebook Ireland e quindi la competenza si radica nel territorio dello Stato italiano. 

Infine, per il criterio di cui al comma 3 dell'articolo sopra menzionato, si ricorda che la rappresentanza consolare o diplomatica determina la competenza territoriale europea del trattamento. 

 

Rappresentante e autorità di controllo

Se siamo in presenza di un trattamento effettuato all'interno dell'Unione sorge l'obbligo di nominare un rappresentante nello Stato membro. 

In base ai medesimi principi si decide l'autorità di controllo competente in merito ad un trattamento di dati. Per i trattamenti transfrontalieri è competente l'autorità di controllo del paese di stabilimento principale o dello stabilimento unico del titolare o responsabile del trattamento, la quale agisce come capofila nel controllo del flusso dei dati. Nel caso di reclami o controversie sorte in altro paese l'autorità di controllo locale informa l'autorità di controllo capofila (leading authority) in merito alla questione e poi questa decide se trattare il caso o meno. Se la capofila decide di trattare il caso si applica l'articolo 60 del regolamento generale europeo, e le autorità nazionali coinvolte cooperano tra loro. In caso contrario il caso viene trattato dall'autorità di controllo locale che ha investito la capofila. 

territoriale