Il concetto di “stabile organizzazione” in materia di trattamento dei dati personali

trasferire dati perosnali all'estero

I giudici europei (sezione III – C‑230/14) chiariscono la portata del concetto di stabilimento di cui all’art. 4 della direttiva in materia di trattamento dei dati personali (direttiva n. 95/46) e i limiti di intervento, di cui all’art. 28, paragrafo 4 della stessa direttiva, da parte dei Garanti dei singoli Stati membri nei confronti di imprese registrate in uno Stato dell’Unione, ma che, operando online, rivolgono la loro attività in altro/i Stato/i membro/i.

IL CASO

Il caso ha ad oggetto una società con sede in Slovenia, operante, tramite il proprio sito internet, nel settore della gestione di annunci immobiliari relativi a beni situati sul territorio ungherese. Il sito web della suddetta società permette, a chi ne abbia interesse, di inserire i propri annunci sul sito gratuitamente per un periodo transitorio di un mese, successivamente, per chi non abbia comunicato la volontà di cancellarsi, prevede il pagamento di un canone. Nonostante, alcuni inserzionisti avessero però manifestato la volontà di cancellazione dei dati alla scadenza del periodo di gratuità e il non interesse alla continuazione del rapporto, la stessa società aveva fatturato comunque i servizi e dato mandato ad una società esterna per il recupero dei crediti. Avendo ricevuto denuncia dei fatti da parte degli inserzionisti, il Garante della Privacy operante in Ungheria era intervenuto e, ritenendo che la raccolta dei dati in questione fosse avvenuta in territorio ungherese e che costituisse un’operazione di trattamento ed elaborazione dei dati con riguardo a persone fisiche, aveva comminato alla società slovena una sanzione di 30000 euro per violazione delle norme sul trattamento dei dati personali, applicando al caso il diritto ungherese.

I giudici ungheresi, davanti ai quali la società aveva effettuato ricorso avverso la sanzione comminatale dal Garante Privacy dello Stato Ungherese, nutrendo dubbi sull’individuazione del diritto applicabile e sulle competenze del Garante, alla luce degli articoli 4, paragrafo 1, e 28 della direttiva 95/46, ha deciso di sospendere il procedimento e di sottoporre alla Corte Europea alcune questioni pregiudiziali, relative all’interpretazione del concetto di stabilimento di cui all’art. 4 della direttiva e ai limiti dei poteri di intervento delle autorità garanti europee dei dati personali, di cui all’art. 28 paragrafo 4 della direttiva medesima.

IL CONCETTO DI “STABILIMENTO” IN MATERIA DI TRATTAMENTO DI DATI PERSONALI

I giudici europei, investiti della questione, hanno ritenuto che, in virtù dell’art. 4 della direttiva n. 46, si applica la legge in materia di protezione dei dati personali di uno Stato membro diverso da quello nel quale il responsabile del trattamento di tali dati (l’azienda titolare del sito web nel caso de qua) è registrato, purché il medesimo svolga, tramite un’organizzazione stabile nel territorio di tale Stato membro, un’attività effettiva e reale, anche minima, nel contesto della quale si svolge tale trattamento.

Il concetto di stabilimento inteso dalla direttiva n. 46, dicono i giudici, è da interpretarsi in modo flessibile. Un’interpretazione che si discosta dall’impostazione formalistica secondo cui un’impresa sarebbe stabilita esclusivamente nel luogo in cui è registrata. “Infatti, per determinare se una società, responsabile di un trattamento dei dati, dispone di uno stabilimento, ai sensi della direttiva, 95/46, in uno Stato membro diverso dallo Stato membro o dal paese terzo in cui è registrata, occorre valutare sia il grado di stabilità dell’organizzazione sia l’esercizio effettivo delle attività in tale altro Stato membro, prendendo in considerazione la natura specifica delle attività economiche e delle prestazioni di servizi in questione. Ciò vale soprattutto per imprese che offrono servizi esclusivamente tramite Internet”.

La Corte sottolinea che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 non esige che il trattamento di dati personali sia svolto «dallo» stesso stabilimento interessato, bensì soltanto che venga effettuato «nel contesto delle attività» di quest’ultimo (sentenza Google Spain e Google, C‑131/12). Peraltro, occorre ricordare che, per quanto riguarda in particolare Internet, la Corte ha già accertato in altre occasioni che l’attività di “far comparire su una pagina Internet dati personali va considerata come un «trattamento» ai sensi dell’articolo 2, lettera b), della direttiva 95/46” (cfr. sentenze Lindqvist, C‑101/01, nonché Google Spain e Google, C‑131/12).

Al fine di verificare la presenza di una stabile organizzazione in uno Stato membro diverso da quello in cui la società è registrata, perché possa applicarsi la legge sul trattamento dei dati personali operante nello Stato membro diverso, dunque, è sufficiente che:

– nello Stato membro diverso da quello in cui è registrata l’azienda che gestisce il sito web siano localizzati i beni oggetto dell’attività;

– che l’attività si rivolga ad utenti appartenenti a tale Stato membro diverso,

– che il sito sia redatto nella lingua dello Stato membro diverso;

– che tale responsabile abbia un rappresentante in detto Stato membro, la cui presenza, in talune circostanze, può essere sufficiente a costituire un’organizzazione stabile, se il medesimo opera con un grado di stabilità sufficiente con l’ausilio dei mezzi necessari per la fornitura dei servizi concreti di cui trattasi nello Stato membro in questione.

I POTERI DELLE AUTORITA’ GARANTI DEI SINGOLI STATI MEMBRI QUANDO SI APPLICA IL DIRITTO DI UNO STATO MEMBRO DIVERSO DA QUELLO IN CUI HA SEDE L’AUTORITA’ STESSA

Per quanto concerne invece l’interpretazione dell’art. 28, i giudici europei hanno stabilito che l’Autorità Garante dei dati personali di uno Stato membro può essere adita per ottenere tutela in merito ai dati personali, anche se il diritto applicabile alla questione è quello di uno Stato membro diverso. Tuttavia, in tali circostanze, ovvero qualora l’Autorità giunga alla conclusione che il diritto applicabile al trattamento dei dati personali interessati non è il diritto dello Stato membro in cui opera, bensì quello di un altro Stato membro (…) non può intervenire direttamente, applicando sanzioni sulla base del diritto di tale Stato membro nei confronti del responsabile del trattamento di tali dati che non è stabilito in tale territorio, ma, secondo l’articolo 28, paragrafo 6, della medesima direttiva, deve demandare la questione all’Autorità dell’altro Stato membro, anche nel rispetto del principio di sovranità popolare deli Stati.

Ai sensi dell’art. 28, della direttiva n. 96/45, dunque, nei casi in cui, il responsabile del trattamento dei dati non dispone di uno «stabilimento» nello Stato membro diverso da quello in cui è registrato e il diritto applicabile al trattamento di cui è causa è quello dello Stato membro in cui egli ha sede, l’Autorità Garante operante nello Stato diverso, che ha ricevuto la denuncia in merito al trattamento, non potrebbe esercitare i poteri sanzionatori previsti dal diritto straniero. In tali circostanze, essa ha l’obbligo di avvisare e demandare la competenza sanzionatoria all’ omonima Autorità dello Stato membro in cui è stabilito il responsabile.

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy