Privacy e trattamento illecito di dati sul web: quale legge si applica?

Corte di giustizia dell’Unione europea, sentenza del primo ottobre 2015 nella causa C-230/14
La normativa di uno Stato membro sulla tutela dei dati può essere applicata a una società straniera che svolge, in tale Stato, tramite un’organizzazione stabile, un’attività reale ed effettiva
La direttiva sulla tutela dei dati personali prevede che ciascuno Stato membro designi una o più autorità pubbliche incaricate di sorvegliare, nel suo territorio, sull’applicazione delle disposizioni nazionali di attuazione adottate dagli Stati membri in base alla direttiva.
Ogni autorità garante della protezione dei dati personali dispone, nel suo territorio, di poteri investigativi e d’intervento, indipendentemente dalla legge nazionale applicabile alla singola fattispecie in considerazione.
Inoltre, ciascuna autorità garante può essere invitata ad esercitare i propri poteri su domanda dell’omologa autorità di altro Stato membro.
Nel caso in esame, una società registrata in Slovacchia gestisce un sito Internet di annunci immobiliari riguardanti beni situati in Ungheria.
Nell’ambito di tale attività, essa tratta i dati personali degli inserzionisti. Gli annunci sono pubblicati gratuitamente per un mese, trascorso il quale diventano a pagamento. Allo scadere del primo mese, molti inserzionisti hanno inviato un messaggio di posta elettronica chiedendo l’eliminazione dei propri annunci e, con l’occasione, anche la cancellazione dei propri dati personali.
La società, però, non ha cancellato tali dati e ha anzi fatturato agli interessati i servizi forniti. A fronte del mancato pagamento delle somme fatturate, la società ha poi trasmesso ad alcune agenzie di recupero crediti i dati personali degli inserzionisti. Gli inserzionisti hanno presentato reclamo all’autorità ungherese incaricata della tutela dei dati, la quale ha imposto alla società un’ammenda di dieci milioni di fiorini ungheresi (HUF) (circa 32 000 euro) per aver violato la legge ungherese di attuazione della direttiva.
La società ha quindi contestato la decisione dell’autorità di controllo dinanzi ai giudici ungheresi. Chiamata a dirimere la controversia in cassazione, la Kúria (Corte suprema, Ungheria) chiede alla Corte di giustizia se, nel caso di specie, la direttiva consentisse all’autorità ungherese di controllo di applicare la legge ungherese adottata sulla base della direttiva e di imporre l’ammenda prevista da tale legge.
Con la sentenza in oggetto, la Corte di giustizia ricorda che, secondo la direttiva, ciascuno Stato membro applica le norme adottate in forza della direttiva medesima al trattamento di dati effettuato nel contesto delle attività svolte sul suo territorio da uno stabilimento del soggetto responsabile del trattamento.
La presenza, in uno Stato, di un unico rappresentante del predetto soggetto responsabile, in talune circostanze, può essere sufficiente a costituire uno «stabilimento» se tale rappresentante opera con un grado di continuità sufficiente a fornire i servizi dell’impresa in quel certo Stato.
Inoltre, la nozione di «stabilimento» si estende a qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione a carattere permanente. Nel caso di specie, la Corte osserva che la società in questione svolge indubbiamente un’attività reale ed effettiva in Ungheria. Inoltre, come si evince dalle precisazioni fornite dall’autorità ungherese di controllo, la società ha un rappresentante in Ungheria, il quale figura nel registro slovacco delle società a un indirizzo situato in Ungheria e ha cercato di negoziare con gli inserzionisti il pagamento dei crediti insoluti.
Tale rappresentante è stata la persona di contatto tra la società e gli inserzionisti e ha rappresentato la società nel corso dei procedimenti amministrativo e giudiziario. La società ha aperto, inoltre, in Ungheria un conto bancario destinato al recupero dei crediti e si serve di una casella postale nel territorio ungherese per la gestione dei suoi affari correnti.
Tali elementi, afferma la Corte, che spetta al giudice del rinvio di verificare, possono configurare l’esistenza di uno «stabilimento», ai sensi della direttiva, nel territorio ungherese.
Se così è, l’attività della società è soggetta alla normativa ungherese in materia di tutela dei dati.
La Corte sottolinea che ciascuna autorità di controllo creata da uno Stato membro sorveglia l’osservanza, nel territorio di tale Stato, delle disposizioni di attuazione della direttiva, adottate da tutti gli Stati membri. Di conseguenza, a ciascuna autorità di controllo può essere presentata da chiunque una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali, anche se il diritto applicabile a tale trattamento è quello di un altro Stato membro.
Tuttavia, nel caso si applichi il diritto di un altro Stato membro, i poteri d’intervento dell’autorità di controllo devono essere esercitati nel rispetto, in particolare, della sovranità territoriale degli altri Stati membri, cosicché un’autorità nazionale non può imporre sanzioni al di fuori del territorio del suo Stato. Di conseguenza, qualora il giudice del rinvio dichiarasse che la società non dispone di uno «stabilimento», ai sensi della direttiva, nel territorio ungherese e che il diritto applicabile al trattamento di cui è causa è perciò quello di un altro Stato membro, l’autorità ungherese di controllo non potrebbe esercitare i poteri sanzionatori attribuitile dal diritto ungherese. In virtù dell’obbligo di collaborazione previsto dalla direttiva, tale autorità deve comunque chiedere all’autorità di controllo dell’altro Stato membro interessato di accertare un’eventuale violazione del diritto di tale Stato e di imporre le eventuali sanzioni da esso previste.
Fonte: curia.europa.eu
Studio legale Avv. Giuseppe Briganti
Pesaro-Urbino