Stabilimento e "intention to target"

La sentenza Weltimmo resa dalla Corte di Giustizia dell’Unione Europea il 1 ottobre 2015 è, probabilmente, una delle più importanti in tema di trattamento dei dati personali, non solo perché definisce in maniera del tutto peculiare lo stabilimento, che condiziona l’applicazione della normativa dello Stato membro e la competenza delle Autorità indipendenti nazionali, ma anche perché muta radicalmente la prospettiva in cui inquadrare le attività di trattamento operate attraverso il web, rischiando di parcellizzare oltre misura l’applicazione delle normative (e delle sanzioni) nazionali.

Non solo: questa pronuncia, appare, a chi scrive, coniugata al futuro anteriore: non solo perché la Corte pare essersi avvicinata, per alcuni aspetti, più al Regolamento europeo, non ancora approvato, che alla direttiva (95/46/CE) attualmente vigente, ma anche perché, in assenza di una effettiva armonizzazione, potrebbe finire con lo spingere le attività on line su un pack normativo destinato a sgretolarsi in una miriade di adempimenti nazionali, mentre le conseguenti difficoltà per garantire la necessaria compliance potrebbero frenare lo sviluppo dei servizi.

Il caso

Per esigenze di celerità e semplicità si riporta solo l’essenziale del caso deciso: La Weltimmo, una società registrata in Slovacchia, gestiva un sito Internet di annunci immobiliari riguardanti beni situati in Ungheria. Nell’ambito di tale attività, essa trattava i dati personali degli inserzionisti. Gli annunci erano pubblicati gratuitamente per un mese, trascorso il quale diventavano a pagamento. Allo scadere del primo mese, molti inserzionisti avevano inviato un messaggio di posta elettronica chiedendo l’eliminazione dei propri annunci e, con l’occasione, anche la cancellazione dei propri dati personali. La Weltimmo, però, non cancellava tali dati, anzi: successivamente fatturava agli interessati i servizi forniti, e, a fronte del mancato pagamento delle somme fatturate, procedeva con il recupero crediti.

Gli inserzionisti, pertanto, presentavano reclamo all’autorità ungherese incaricata della tutela dei dati, che imponeva alla Weltimmo un’ammenda di dieci milioni di fiorini ungheresi (HUF) (circa 32 000 euro) per aver violato la legge ungherese di attuazione della direttiva.

La Weltimmo, però, contestava la decisione dell’autorità di controllo dinanzi ai giudici ungheresi. Chiamata a dirimere la controversia in cassazione, la Kúria (Corte suprema, Ungheria) adiva la Corte di giustizia per chiarire se, nel caso di specie, la direttiva consentisse all’autorità ungherese di controllo di applicare la legge ungherese adottata sulla base della direttiva e di imporre l’ammenda prevista da tale legge.

Competenza e stabilimento: la normativa europea

Il considerando 18 della direttiva in commento enuncia che, per evitare che una persona venga privata della tutela in ordine al trattamento dei dati personali, è necessario che qualsiasi trattamento effettuato nella Comunità Europea (oggi UE) rispetti la legislazione di uno degli Stati membri; a questo proposito, è opportuno assoggettare i trattamenti effettuati da una persona che opera sotto l’autorità del titolare del trattamento stabilito in uno Stato membro, alla legge di tale Stato.

L’articolo che nella Direttiva 95/46/CE regola la competenza dei singoli stati (e quindi delle Autorità Nazionali deputate alla protezione dei dati personali) è il 4, il quale al comma 1 dispone che: “Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:

a)      effettuato nel contesto delle attività di uno stabilimento del responsabile (rectius Titolare n.d.a.) del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile (rectius Titolare, n.d.a.) del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;(…).”

Il riferimento al contesto delle attività sta a significare che non occorre che il trattamento sia effettivamente svolto dallo “stabilimento”, i dati possono essere trattati anche altrove, purché “nel contesto delle attività”. Questo è il criterio richiamato e argomentato nella sentenza Google Spain, alla quale si rinvia per maggiori approfondimenti.

La nozione di stabilimento è sempre stata piuttosto de-formalizzata:

Il considerando 19 della direttiva 95/46 sottolinea che “lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile; che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo (…)”. Il medesimo considerando enuncia che, “quando un unico responsabile (rectius Titolare, n.d.a.) del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi”.

Successivamente all’articolo 28 viene disciplinata la regolamentazione delle autorità indipendenti nazionali da parte degli stati membri e vengono delineati i relativi poteri.

In particolare, il paragrafo 1 recita:

“Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.”

La Kuria ungherese, per determinare la competenza della Autorità nazionale per la protezione dei dati a decidere e irrogare sanzioni, ha domandato lumi alla Corte di Giustizia (anche) intorno alla definizione di stabilimento, ed ha rilevato alcuni elementi da sottendere alla interpretazione che, di fatto, ne estendono la portata. In particolare ha evidenziato che il gestore della pagina Internet di intermediazione immobiliare era stabilito esclusivamente in un altro Stato membro ma pubblicizzava, tra l’altro, immobili ungheresi; i proprietari dei detti immobili avevano trasmesso i dati relativi, probabilmente, dal territorio ungherese a un dispositivo (server) per la memorizzazione e l’elaborazione di dati (del gestore/ Titolare) situato in un altro Stato membro. Evidenziava anche che la società che gestiva il sito era domiciliata in Ungheria.

Sarà utile allora una breve digressione per riportare alcuni passaggi delle conclusioni dell’Avvocato  Generale.

Le conclusioni dell’Avvocato Generale

L’Avv. Generale analizzava la fattispecie muovendo dal considerando 19 della Direttiva, sopra riportato. In estrema sintesi egli procedeva a una ricostruzione sistematica degli istituti, riferendosi in particolare al parere n. 8/2010 del Gruppo dell’articolo 29 per la tutela dei dati e rilevando come facesse riferimento all’interpretazione della nozione di stabilimento richiamando il criterio di collegamento ai fini fiscali in materia di IVA. In materia tributaria la Giurisprudenza della Corte di Giustizia appare più consolidata in ordine alla nozione di stabilimento: la “stabile organizzazione” “dev’essere caratterizzata da un sufficiente grado di permanenza e da una struttura adeguata, in termini di risorse umane e tecniche, che le consentano di ricevere ed utilizzare i servizi fornitile per le specifiche esigenze delle organizzazioni medesime”. Inoltre, rilevava l’Avv. Generale, anche la nozione di stabilimento presente sia nell’ambito della Convenzione di Roma  che in quello della Convenzione di Bruxelles milita a favore di una concezione non formalistica.

Secondo l’Avv. Generale, a prescindere dalle ovvie differenze, in termini di contesti e di obiettivi, tra il caso sottoposto al suo esame e gli ambiti in cui è intervenuta la giurisprudenza della Corte nelle materie sopra menzionate, è comunque significativo che il diritto dell’Unione evidenzi, in contesti diversi, una concezione della nozione di stabilimento basata sull’esercizio effettivo delle attività economiche e su un certo grado di stabilità, in linea quindi con le indicazioni che si riflettono anche nel considerando 19 della direttiva 95/46.

Pertanto, sempre secondo il ragionamento seguito dall’Avvocato Generale, seguendo anche i criteri offerti dal Gruppo articolo 29, un unico operatore può bastare per ritenere che esista un’organizzazione stabile se il medesimo opera con un grado di stabilità sufficiente attraverso la presenza dei mezzi necessari per la prestazione dei servizi concreti di cui trattasi nello Stato membro in questione.

Non di secondo momento è anche il modello economico dell’operatore analizzato: occorre  tenere conto della particolarità delle imprese che operano esclusivamente tramite Internet, il cui modello economico relativizza la nozione di organizzazione permanente, condizionando anche l’intensità dei mezzi umani e materiali. Infatti, in determinate circostanze, un operatore con una presenza duratura, dotato di poco più di un computer portatile, può costituire una struttura sufficiente per esercitare un’attività effettiva, reale e con un grado sufficiente di stabilità; la particolarità delle attività economiche esercitate tramite Internet è già stata presa in considerazione per determinare il contenuto della nozione di stabilimento in altri strumenti di diritto dell’Unione. Segnatamente, la direttiva sul commercio elettronico  enuncia al considerando 19 che “(…) il luogo di stabilimento, per le società che forniscono servizi tramite siti Internet, non è là dove si trova la tecnologia di supporto del sito né là dove esso è accessibile, bensì il luogo in cui tali società esercitano la loro attività economica”. Tale definizione è stata ritenuta pertinente dal Gruppo articolo 29 al fine di interpretare l’articolo 4 della direttiva 95/46.

Secondo l’Avv. Generale, pertanto, non si poteva escludere che Weltimmo esercitasse effettivamente e realmente le sue attività nel territorio di uno Stato diverso da quello in cui aveva formalmente eletto la sede,  attraverso un’organizzazione stabile, che poteva essere costituita da un unico operatore.

Secondo l’Avv. Generale, tuttavia,  i vari fattori supplementari indicati dalla Kúria nelle sue questioni pregiudiziali – il luogo in cui sono stati caricati i dati, lo Stato membro al quale sono rivolti (rectius: diretti NDA) i servizi, la nazionalità degli interessati o il luogo in cui risiedono i titolari dell’impresa – non avevano un’incidenza diretta e decisiva sull’individuazione della legge applicabile. “Infatti, tali elementi non figurano nella direttiva in quanto criteri pertinenti che consentano di discostarsi dal criterio di cui all’articolo 4, paragrafo 1, lettera a)”

Le conclusioni dell’Avvocato Generale, pertanto, sono perfettamente in linea con gli orientamenti interpretativi formatisi in ordine alla definizione di “stabilimento” in materia di protezione dei dati personali. Egli dimostra di valorizzare l’attività stabile in ragione dell’organizzazione stabile, da valutare in considerazione delle peculiarità dell’attività esercitata. Non pare, invece, valorizzare gli aspetti relativi agli elementi che potrebbero determinare una individuazione dello Stato verso il quale si dirige l’attività d’impresa, criterio adottato in altre fattispecie (es. individuazione della normativa applicabile al consumatore) e noto come “intention to target”, che rivela l’intenzione di rivolgersi alle persone che si trovano in un determinato territorio.

Si tratta di un criterio volto a risolvere conflitti di norme o di giurisdizione, è previsto dai Regolamenti Bruxelles I e «Bruxelles I-bis» nonché dal Regolamento Roma I (art. 6) ed è stato sviluppato con interessante integrazione casistica anche dalla Corte di Giustizia, anche proprio in tema di vendite on line. Tuttavia, come correttamente rileva l’Avvocato Generale riferendosi agli elementi dedotti dalla Kuria e idonei a rivelare l’intention to target nel caso di specie, tali elementi sono estranei alla Direttiva in materia di protezione dei dati personali.

La decisione della Corte: lo stabilimento

La Corte di Giustizia afferma che lo stabilimento in Ungheria non è escluso nel caso di specie e che spetterà al giudice nazionale valutarne la sussistenza alla luce della normativa nazionale.

Apparentemente, rispetto al risultato, pertanto, non pare distanziarsi dall’approdo dell’Avvocato Generale. Una più attenta lettura, invece, mostra come questa apparente convergenza, in realtà, disveli una motivazione del tutto inedita e in grado di avere importanti ripercussioni sull’applicazione territoriale della normativa in materia di protezione dei dati personali.

La Corte di Giustizia infatti richiama le argomentazioni dell’Avvocato Generale  in ordine alla assenza di formalità per la qualificazione dello stabilimento, ma poi si discosta dall’iter logico giuridico seguito nelle conclusioni, per aprire a una definizione informata all’”intention to target”.

Per la Corte, infatti, occorre valutare sia il grado di stabilità dell’organizzazione sia l’esercizio effettivo delle attività in tale altro Stato membro, prendendo in considerazione la natura specifica delle attività economiche e delle prestazioni di servizi in questione. Ciò vale soprattutto per imprese che offrono servizi esclusivamente tramite Internet.

A questo proposito, anche per la Corte, occorre considerare che la presenza di un unico rappresentante, in talune circostanze, può essere sufficiente a costituire un’organizzazione stabile se il medesimo opera con un grado di stabilità sufficiente con l’ausilio dei mezzi necessari per la fornitura dei servizi concreti di cui trattasi nello Stato membro in questione.

“Inoltre, per realizzare detto obiettivo, occorre considerare che la nozione di «stabilimento», ai sensi della direttiva 95/46, si estende a qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione stabile.

Nel caso di specie, l’attività esercitata dalla Weltimmo consiste, quantomeno, nella gestione di uno dei vari siti Internet di annunci immobiliari riguardanti beni situati in Ungheria, scritti in lingua ungherese e i cui annunci diventano a pagamento dopo un mese. Occorre dunque affermare che tale società svolge un’attività concreta ed effettiva in Ungheria.

Inoltre, si evince in particolare dalle precisazioni fornite dall’autorità ungherese di controllo che la Weltimmo ha un rappresentante in Ungheria, il quale figura nel registro slovacco delle società a un indirizzo situato in Ungheria e il quale ha cercato di negoziare con gli inserzionisti il pagamento dei crediti insoluti. Tale rappresentante è stata la persona di contatto tra la società e coloro che avevano introdotto reclami e l’ha rappresentata nel corso dei procedimenti amministrativo e giudiziario. Inoltre, detta società ha aperto in Ungheria un conto bancario, destinato al recupero dei crediti, e si serve di una casella postale nel territorio di tale stato membro per la gestione dei suoi affari correnti. Questi elementi, che spetta verificare al giudice del rinvio, possono configurare, in una situazione come quella controversa, l’esistenza di uno «stabilimento», ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46.”

E’ evidente la differenza con la posizione dell’Avvocato Generale e lo spostamento di prospettiva operato dalla Corte che ha canonizzato elementi finalistici (ossia volti a individuare il luogo verso il quale l’attività è diretta) sino ad oggi ritenuti estranei alla direttiva sulla protezione dei dati personali.

L’impatto di tale orientamento, potrebbe, secondo alcuni, influire fortemente sulla competenza delle Data Protection Autority, e potrebbe rivelarsi una fonte di seria preoccupazione per imprese che operano on line in più stati pur essendo “stabilite” (secondo il criterio adottato sino alla sentenza Weltimmo) solo in uno stato Europeo, magari proprio quello con l’applicazione più “light” della direttiva: si pensi a Facebook, che opera in tutti i paesi europei ma rivendica la competenza a decidere della sola Autorità Irlandese.

Se la competenza di una DPA si incardina in ragione dello stabilimento e lo stabilimento si determina sulla scorta di criteri come quello dell’individuazione del paese verso cui l’attività è diretta, ebbene, le imprese che operano on line si troverebbero costrette a rispettare non solo le regole del paese in cui sono tradizionalmente stabilite, ma anche quelle dei paesi verso cui dirigono l’attività e dovrebbero rendere conto di tale corretta applicazione alle DPA di ognuno di questi paesi. Lo stabilimento in un solo paese UE, per coloro che operano sul web, rappresenterà più soltanto un’ipotesi di scuola?

Una mitigazione a tale dirompente lettura potrebbe rinvenirsi nel dispositivo. La Corte di Giustizia infatti dichiara:

“L’articolo 4, paragrafo 1, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che esso consente l’applicazione della legge in materia di protezione dei dati personali di uno Stato membro diverso da quello nel quale il responsabile (rectius Titolare, n.d.a.) del trattamento di tali dati è registrato, purché il medesimo svolga, tramite un’organizzazione stabile nel territorio di tale Stato membro, un’attività effettiva e reale, anche minima, nel contesto della quale si svolge tale trattamento.

Per determinare se ciò si verifichi, in circostanze quali quelle controverse nel procedimento principale, il giudice del rinvio può tener conto, in particolare, del fatto, da un lato, che l’attività del responsabile (rectius Titolare, n.d.a.) di detto trattamento, nell’ambito della quale il medesimo ha luogo, consiste nella gestione di siti Internet di annunci immobiliari riguardanti beni immobili situati nel territorio di tale Stato membro e redatti nella lingua di quest’ultimo e che essa, di conseguenza, è principalmente, ovvero interamente, rivolta verso (o diretta verso, per dirla con il Regolamento  Roma I e la giurisprudenza consolidatasi sul punto -n.d.a.) detto Stato membro e, dall’altro, che tale responsabile (rectius Titolare, n.d.a.) ha un rappresentante in detto Stato membro, il quale è incaricato di recuperare i crediti risultanti da tale attività nonché di rappresentarlo nei procedimenti amministrativo e giudiziario relativi al trattamento dei dati interessati.

È, invece, inconferente la questione della cittadinanza delle persone interessate da tale trattamento.”

Non basta, pertanto che l’attività sia rivolta anche ad un altro stato, occorre che vi si rivolga principalmente ovvero interamente. Non sarà sufficiente, allora, ad esempio, la mera traduzione di un sito web in lingua inglese, se mancano elementi volti a determinare che l’attività si dirige ad altro stato in maniera principale o esclusiva.

Va da sé che, una volta individuato lo stabilimento  che comporta l’applicazione della normativa nazionale e radicata la competenza della DPA, non occorrerà che il trattamento sia effettuato direttamente nello stabilimento, sarà sufficiente che avvenga “nel contesto delle attività”.

In bilico tra passato e futuro

La questione della cittadinanza, invece, sottrae momentaneamente la materia alla sfera dell’intention to target: criteri simili o analoghi (domicilio, residenza) corredano quasi sempre la fattispecie in questo tipo di decisioni, ma non in questo caso. In effetti è un criterio del tutto estraneo alla attuale disciplina dei dati personali di matrice europea.

Non solo: il ragionamento svolto dalla Corte di Giustizia, in ordine ai criteri per determinare lo stabilimento, pare fuori quadro rispetto alla normativa vigente, ma perfettamente allineato all’emanando regolamento, o meglio, con la versione del Regolamento approvata dal Parlamento Europeo. Un’operazione di ermeneutica futuristica, dunque, che sembra aderire più all’articolo 3 di detta versione del Regolamento che alla normativa ancora vigente, trasponendo canoni elaborati, per verità, per vincolare al rispetto della normativa Titolari non stabiliti nell’Unione.

A tal proposito appare significativo anche il considerando 20 del Regolamento che qui si riporta nella versione del Consiglio dell’Unione Europea (che ha nuovamente reintegrato il termine “residenti” in luogo di “interessati”, come invece voluto dal Parlamento), per dare un’idea della prossimità della Corte alla normativa ancora in iter di approvazione:

“Onde evitare che una persona fisica venga privata della tutela cui ha diritto in base al presente regolamento, è necessario che questo disciplini anche il trattamento dei dati personali di residenti nell’Unione effettuato da un responsabile del trattamento non stabilito nell’Unione, quando le attività di trattamento sono legate all’offerta di beni o servizi a dette persone indipendentemente dal fatto che vi sia un pagamento o no all’interno dell’Unione. Per determinare se tale responsabile del trattamento stia offrendo beni o servizi a dette persone nell’Unione, occorre verificare se risulta che il responsabile del trattamento intenda concludere affari con residenti in uno o più Stati membri dell’Unione. Se la semplice accessibilità del sito Internet del responsabile del trattamento o di un intermediario nell’Unione, di un indirizzo di posta elettronica, di altre coordinate di contatto o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il responsabile del trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, e/o la menzione di clienti o utenti residenti nell’Unione, possono evidenziare l’intenzione del responsabile del trattamento volta all’offerta di beni o servizi a dette persone nell’Unione”.

Collaborazione tra autorità e one stop shop

Non è questa tuttavia l’unica finestra che la sentenza spalanca sul futuro: anche la decisione al secondo punto della sentenza merita una valutazione in prospettiva. La Corte infatti ha risposto anche all’ipotesi in cui, mancando lo stabilimento, le autorità ungheresi non fossero competenti. La base normativa del quesito è costituita dall’art. 28; particolare rilievo assume il paragrafo 6, che si riporta: “Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro.

Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile.”

Ebbene per la Corte non è possibile per una DPA irrogare sanzioni nell’ambito della propria “giurisdizione” applicando la normativa di un diverso stato membro; dichiara la Corte:

“Nell’ipotesi in cui l’autorità di controllo di uno Stato membro cui sia proposto un reclamo, ai sensi dell’articolo 28, paragrafo 4, della direttiva 95/46, giunga alla conclusione che il diritto applicabile al trattamento dei dati personali interessati non è il diritto di tale Stato membro, ma quello di un altro Stato membro, l’articolo 28, paragrafi 1, 3 e 6, di tale direttiva deve essere interpretato nel senso che tale autorità di controllo potrebbe esercitare i poteri effettivi d’intervento attribuitile in base all’articolo 28, paragrafo 3, di detta direttiva solamente nel territorio del suo Stato membro. Pertanto, essa non può imporre sanzioni sulla base del diritto di tale Stato membro nei confronti del responsabile (rectius titolare n.d.a.) del trattamento di tali dati che non è stabilito in tale territorio, ma, secondo l’articolo 28, paragrafo 6, della medesima direttiva, dovrebbe chiedere all’autorità di controllo dello Stato membro del quale si applica legge d’intervenire.”

Facciamo un passo indietro: si è molto discusso in seno alle istituzioni europee in ordine alla opportunità di introdurre il meccanismo del “one stop shop”: ciò avrebbe comportato che una sola Autority fosse “sportello unico” (one-stop-shop), per le istanze da rivolgere al Titolare e fosse quella del paese di stabilimento. Questo meccanismo avvantaggia le multinazionali, dato che consente una gestione più agevole dei rapporti con l’Autorità e un adeguamento alla normativa più armonioso. Potrebbe tuttavia incoraggiare il forum shopping (ovvero le aziende si stabilirebbero dove la DPA apparisse più “morbida” ), inoltre, date le marcate differenze tra i paesi UE, anche linguistiche oltre che normative, sembra che la soluzione sia la più lontana dai cittadini, o meglio dagli interessati. Le istituzioni oscillano tra il dover garantire il libero scambio di beni e servizi e il dover assicurare la tutela dei dati personali agli interessati. Si sono cercati allora dei correttivi, dei meccanismi che potessero consentire il coordinamento di un processo di co-decisione in cui tutte le Authority degli Stati membri interessati da un trattamento potessero partecipare, ma la soluzione è ancora in discussione, anzi rappresenta uno dei punti più critici.

Ebbene, nella decisione della Corte il confine è netto, ma si pongono le basi per la collaborazione tra le Autorità. Spiega infatti la Corte: “come rilevato dall’avvocato generale al paragrafo 50 delle sue conclusioni, dalle esigenze derivanti dalla sovranità territoriale dello Stato membro, dal principio di legalità e dalla nozione di Stato di diritto discende che il potere sanzionatorio non può avere luogo, in linea di principio, al di fuori dei limiti legali entro cui un’autorità amministrativa è autorizzata ad agire secondo il diritto nazionale del suo Stato membro.

Così, quando ad un’autorità di controllo viene presentato un reclamo, secondo l’articolo 28, paragrafo 4, della direttiva 95/46, essa può esercitare i suoi poteri investigativi indipendentemente dal diritto applicabile e ancor prima di sapere quale sia il diritto nazionale che si applica al trattamento controverso. Tuttavia, essa, qualora giunga alla conclusione che si applica il diritto di un altro Stato membro, non può imporre sanzioni al di fuori del territorio del suo Stato membro. In una situazione del genere, essa è tenuta, in virtù dell’obbligo di collaborazione di cui all’articolo 28, paragrafo 6, di tale direttiva, a chiedere all’autorità di controllo di tale altro Stato membro di accertare un’eventuale violazione di tale diritto e di imporre sanzioni se questo lo consente, appoggiandosi, se del caso, sulle informazioni che essa le avrà comunicato.

L’autorità di controllo cui è proposto un reclamo, nell’ambito di tale collaborazione può essere indotta a svolgere altre indagini, su istruzione dell’autorità di controllo dell’altro Stato membro.”

Prima della decisione diversi commentatori avevano auspicato che la pronuncia fornisse spunto per quadrare il cerchio intorno alla collaborazione tra autorità, che avrebbe consentito di superare lo sbarramento opposto allo one stop shop. Non è escluso. Ma certamente quello che la pronuncia pare affermare con forza è che un’autorità non può decidere secondo la normativa di un altro stato membro. E anche ove potesse, la polverizzazione dello stabilimento operato dalla sentenza per le attività on line, vanificherebbe del tutto un simile meccanismo.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017