x

x

Privacy - Corte di Giustizia UE: luogo di stabilimento principale del titolare di un trattamento dati definisce competenza giurisdizionale e poteri del garante privacy di uno Stato Membro

Con sentenza dello scorso primo ottobre, la Corte di Giustizia dell’Unione Europea è intervenuta sulla spinosa questione della competenza territoriale dei garanti privacy europei nei confronti dei reclami di soggetti residenti in diversi Stati Membri dell’Unione, affermando che l’elemento dirimente a radicare una controversia in materia di trattamento dati è quello definito dalla nozione di stabilimento principale del titolare.

Vediamo innanzitutto i fatti: la vicenda della Causa C-230/14 nasce in seguito ai reclami degli inserzionisti di un sito internet di annunci immobiliari riguardanti beni situati in Ungheria e gestito da una società con sede legale in Slovacchia. Non volendo infatti passare alla modalità a pagamento del servizio al termine di un periodo di prova gratuito, molti inserzionisti avevano inviato un messaggio di posta elettronica chiedendo la cancellazione dei propri annunci e dei propri dati. La società non aveva però dato seguito a tali richieste, procedendo invece alla contestuale fatturazione dei servizi offerti, a fronte dei dati a sua disposizione. Solo in seguito alla segnalazione degli inserzionisti relativa alla trasmissione illecita dei propri dati ad alcune agenzie di recupero crediti, il garante ungherese è intervenuto, conformemente al dettato degli articoli 4 e 28 della direttiva, infliggendo una sanzione di 32.000 euro alla società slovacca. Nutrendo dubbi sull’individuazione del diritto applicabile, nonché sulla competenza dell’autorità di controllo designata ad esercitare il potere sanzionatorio ai sensi della direttiva 95/46, la Corte suprema ungherese decideva di sospendere il procedimento in corso per sottoporre all’attenzione del tribunale di Lussemburgo una serie questioni pregiudiziali su cui domandare delucidazioni, in particolare: (i) il tema della legge applicabile al trattamento dei dati oggetto di controversia, e (ii) la determinazione dell’autorità di controllo competente a procedere per poter legittimamente esercitare il potere sanzionatorio.

La problematica della legge applicabile alle situazioni transfrontaliere di trattamento dei dati, ha rilevato innanzitutto la Corte UE, benché ancora oggetto di ampio dibattito internazionale, è stata efficacemente risolta, almeno a livello europeo, dall’introduzione della direttiva 95/46. La normativa in questione mirerebbe infatti, non solo “a determinare il diritto nazionale applicabile” in casi concreti, ma anche a stabilire “alcuni criteri per accertar[ne] l’applicabilità [...] attraverso i quali [poter definire], indirettamente l’ambito di applicazione territoriale della direttiva”. In tutto questo dunque, l’articolo 4 della suddetta direttiva, svolgerebbe una duplice funzione: da un lato, [consentendo] l’applicazione del diritto dell’Unione attraverso il diritto di uno dei suoi Stati membri quando il trattamento dei dati abbia luogo esclusivamente «nel contesto» delle attività di uno stabilimento situato nel loro territorio- come nella causa Google Spain - e dall’altro, [operando] come norma che determina la legge applicabile tra Stati membri in caso di conflitto di competenza o incertezze sulla giurisdizione. Nell’applicare tale paradigma dunque, la Corte UE si è espressa affermando innanzitutto la necessità di definire un criterio di stabilimento principale quanto più ampio e concreto possibile, dunque molto più legato ad una nozione tributaristica già ampiamente evidenziata dalla giurisprudenza della Corte (i.e. Sentenza del Caso C-196/04 del 12 settembre 2006, Cadbury Schweppes plc, Cadbury Schweppes Overseas Ltd v Commissioners of Inland Revenue). Ciò andrebbe considerato soprattutto, ha affermato la Corte citando l’opinione dell’Avvocato Generale Cruz Villalón, “in virtù della particolarità delle imprese che operano esclusivamente tramite internet, il cui modello economico relativizza la nozione di organizzazione permanente, condizionando anche l’intensità dei mezzi umani e materiali”.

Nel caso di specie dunque, l’attività esercitata dalla società sanzionata, consistente nella gestione di vari siti di annunci immobiliari scritti in lingua ungherese e riguardanti beni situati in Ungheria, poteva essere qualificata come attività concreta ed effettiva svolta all’interno dello stato il cui garante privacy ha agito. La legge ungherese sull’informazione quindi, recependo il dettato della direttiva, avrebbe consentito l’applicazione del diritto nazionale in materia di protezione dei dati personali al reclamo presentato, legittimando allo stesso tempo l’esercizio del potere sanzionatorio verso la società titolare del trattamento per violazione dei suoi obblighi di legge in Ungheria, stato di radicamento della controversia in virtù dell’accertamento dei requisiti di stabilimento principale.

In conclusione, la Corte ha deciso che nell’ipotesi in cui all’autorità di controllo di uno Stato Membro sia proposto un reclamo fondato, il dettato delle disposizioni rilevanti della direttiva 45/96 debba essere sempre interpretato nel senso che tale autorità di controllo possa liberamente esercitare i propri poteri d’intervento, benché solamente all’interno della propria giurisdizione territoriale e nel rispetto della nozione di stabilimento principale ivi definito.

(Corte di Giustizia dell’Unione Europea, sentenza 1 ottobre 2015, Causa C230/14, Weltimmo s. r. o./Nemzeti Adatvédelmi és Információszabadság Hatóság)

Con sentenza dello scorso primo ottobre, la Corte di Giustizia dell’Unione Europea è intervenuta sulla spinosa questione della competenza territoriale dei garanti privacy europei nei confronti dei reclami di soggetti residenti in diversi Stati Membri dell’Unione, affermando che l’elemento dirimente a radicare una controversia in materia di trattamento dati è quello definito dalla nozione di stabilimento principale del titolare.

Vediamo innanzitutto i fatti: la vicenda della Causa C-230/14 nasce in seguito ai reclami degli inserzionisti di un sito internet di annunci immobiliari riguardanti beni situati in Ungheria e gestito da una società con sede legale in Slovacchia. Non volendo infatti passare alla modalità a pagamento del servizio al termine di un periodo di prova gratuito, molti inserzionisti avevano inviato un messaggio di posta elettronica chiedendo la cancellazione dei propri annunci e dei propri dati. La società non aveva però dato seguito a tali richieste, procedendo invece alla contestuale fatturazione dei servizi offerti, a fronte dei dati a sua disposizione. Solo in seguito alla segnalazione degli inserzionisti relativa alla trasmissione illecita dei propri dati ad alcune agenzie di recupero crediti, il garante ungherese è intervenuto, conformemente al dettato degli articoli 4 e 28 della direttiva, infliggendo una sanzione di 32.000 euro alla società slovacca. Nutrendo dubbi sull’individuazione del diritto applicabile, nonché sulla competenza dell’autorità di controllo designata ad esercitare il potere sanzionatorio ai sensi della direttiva 95/46, la Corte suprema ungherese decideva di sospendere il procedimento in corso per sottoporre all’attenzione del tribunale di Lussemburgo una serie questioni pregiudiziali su cui domandare delucidazioni, in particolare: (i) il tema della legge applicabile al trattamento dei dati oggetto di controversia, e (ii) la determinazione dell’autorità di controllo competente a procedere per poter legittimamente esercitare il potere sanzionatorio.

La problematica della legge applicabile alle situazioni transfrontaliere di trattamento dei dati, ha rilevato innanzitutto la Corte UE, benché ancora oggetto di ampio dibattito internazionale, è stata efficacemente risolta, almeno a livello europeo, dall’introduzione della direttiva 95/46. La normativa in questione mirerebbe infatti, non solo “a determinare il diritto nazionale applicabile” in casi concreti, ma anche a stabilire “alcuni criteri per accertar[ne] l’applicabilità [...] attraverso i quali [poter definire], indirettamente l’ambito di applicazione territoriale della direttiva”. In tutto questo dunque, l’articolo 4 della suddetta direttiva, svolgerebbe una duplice funzione: da un lato, [consentendo] l’applicazione del diritto dell’Unione attraverso il diritto di uno dei suoi Stati membri quando il trattamento dei dati abbia luogo esclusivamente «nel contesto» delle attività di uno stabilimento situato nel loro territorio- come nella causa Google Spain - e dall’altro, [operando] come norma che determina la legge applicabile tra Stati membri in caso di conflitto di competenza o incertezze sulla giurisdizione. Nell’applicare tale paradigma dunque, la Corte UE si è espressa affermando innanzitutto la necessità di definire un criterio di stabilimento principale quanto più ampio e concreto possibile, dunque molto più legato ad una nozione tributaristica già ampiamente evidenziata dalla giurisprudenza della Corte (i.e. Sentenza del Caso C-196/04 del 12 settembre 2006, Cadbury Schweppes plc, Cadbury Schweppes Overseas Ltd v Commissioners of Inland Revenue). Ciò andrebbe considerato soprattutto, ha affermato la Corte citando l’opinione dell’Avvocato Generale Cruz Villalón, “in virtù della particolarità delle imprese che operano esclusivamente tramite internet, il cui modello economico relativizza la nozione di organizzazione permanente, condizionando anche l’intensità dei mezzi umani e materiali”.

Nel caso di specie dunque, l’attività esercitata dalla società sanzionata, consistente nella gestione di vari siti di annunci immobiliari scritti in lingua ungherese e riguardanti beni situati in Ungheria, poteva essere qualificata come attività concreta ed effettiva svolta all’interno dello stato il cui garante privacy ha agito. La legge ungherese sull’informazione quindi, recependo il dettato della direttiva, avrebbe consentito l’applicazione del diritto nazionale in materia di protezione dei dati personali al reclamo presentato, legittimando allo stesso tempo l’esercizio del potere sanzionatorio verso la società titolare del trattamento per violazione dei suoi obblighi di legge in Ungheria, stato di radicamento della controversia in virtù dell’accertamento dei requisiti di stabilimento principale.

In conclusione, la Corte ha deciso che nell’ipotesi in cui all’autorità di controllo di uno Stato Membro sia proposto un reclamo fondato, il dettato delle disposizioni rilevanti della direttiva 45/96 debba essere sempre interpretato nel senso che tale autorità di controllo possa liberamente esercitare i propri poteri d’intervento, benché solamente all’interno della propria giurisdizione territoriale e nel rispetto della nozione di stabilimento principale ivi definito.

(Corte di Giustizia dell’Unione Europea, sentenza 1 ottobre 2015, Causa C230/14, Weltimmo s. r. o./Nemzeti Adatvédelmi és Információszabadság Hatóság)