giovedì, Marzo 28, 2024
Uncategorized

L’ambito di applicazione della normativa privacy: analisi comparata tra GDPR e direttiva 95/46/CE

A cura di Giovanni Di Ciollo(*), vincitore della Essay Competition di ELSA Roma

Sommario: 1. Cenni introduttivi sul GDPR. – 2. Ambito di applicazione materiale. – 3. Ambito di applicazione territoriale. – 4. GDPR e ultraterritorialità. – 5. Conclusioni.

  1. Cenni introduttivi sul GDPR.

Il regolamento (UE) 2016/679, conosciuto anche come GDPR, costituisce una completa ridefinizione del sistema inizialmente delineato dalla direttiva 95/46/CE, abrogata dal GDPR stesso, e primo tentativo di regolamentazione sistematica e uniforme della normativa sulla tutela del dato personale. Tale primo intervento normativo si inserisce in contesto connotato da pronunciata disomogeneità e lacunosità delle normative dei paesi membri dell’Unione, e tra i suoi meriti figurano indubbiamente la bontà del carattere programmatico, nonché la consacrazione, sul piano ordinamentale, del diritto alla tutela del dato personale quale diritto della personalità.[1] La celere evoluzione delle nuove tecnologie, le quali hanno comportato una circolazione incontrollata del dato personale, nonché il suo sdoganamento finanche come merce di scambio,[2] collocata in un nuovo specifico mercato, per l’appunto quello dello scambio dei dati personali, hanno disvelato l’inadeguatezza della normativa previgente a far fronte a i nuovi problemi emersi nell’ambito privacy. Da qui l’approccio del nuovo regolamento, volto a responsabilizzare i titolari del trattamento affinché siano questi a individuare le misure più idonee per tutelare i soggetti interessati, sulla base di principi individuati dal regolamento stesso,[3] volto a imporre come standard predefinito quello della massima protezione del soggetto interessato (privacy by default). Il nuovo regolamento si fa foriero di numerose novità, dall’introduzione di nuove figure istituzionali alla ridefinizione, fra gli altri, dei concetti di dato e trattamento in modo da includere un numero maggiori di fattispecie potenzialmente idonee ad essere oggetto di interesse da parte del regolamento, nonché del principio di stabilimento, con conseguente ampliamento dell’ambito applicativo del regolamento stesso.

  1. Ambito di applicazione materiale.

Il paragrafo 1 dell’art. 2 del regolamento ne individua l’ambito di applicazione materiale, peraltro ricalcando la definizione data dall’art. 3 della direttiva 95/46/CE: “Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”; ciò che diverge non è dunque il mero dettato positivo su cosa costituisca oggetto di interesse del regolamento, bensì le definizioni contenute nell’art. 4 del regolamento, tra le quali innanzitutto va analizzata la voce “dato personale”, alla quale sono aggiunti nuovi elementi identificativi quali “il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online”, mentre gli elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale figuravano già nella scorsa direttiva. È evidente che i nuovi canoni identificativi allargano il novero di elementi attribuibili ad un soggetto e definibili come dati personali, andando a comprendere i dati afferenti all’individuazione geografica del soggetto, nonché agli elementi pseudonimi virtuali e non, suscettibili di essergli riferiti.[4] Rientrano senza dubbio in quest’ultima fattispecie i fenomeni geneticamente pseudonomizzati, quale ad esempio i wallet di criptovalute, ovverosia stringhe alfanumeriche che, seppur pubblicamente accessibili, rimangono riferibili unicamente ad un singolo soggetto quale entità fisica o giuridica, quant’anche i trattamenti non geneticamente pseudonomizzati, per i quali tale processo incorre come misura ulteriore e rafforzativa della tutela del dato, tramite aggravamento della procedura di rintracciabilità dello stesso.[5] Ciò comporta che certamente la individuazione o la individuabilità del soggetto il cui dato è pseudonomizzato costituisce condizione sufficiente per poter ritenere l’informazione un dato personale, e che il dato anonimo non rientra nell’ambito di applicazione del regolamento, come anche specificato dal considerando 26. Non muta, invece, la definizione di archivio, quale insieme strutturato di dati personali accessibili secondo criteri determinati, a prescindere dalla sua organizzazione.

La definizione di trattamento costituisce una elencazione di diciassette attività, a partire dal momento di genesi del dato (“raccolta”) al momento coincidente con la cessazione dell’esistenza dello stesso (“cancellazione o distruzione”). Il trattamento, dunque, concerne ogni ipotesi di uso dei dati in senso positivo o negativo (cancellazione o limitazione), e costituiscono oggetto specifico di interesse ai sensi del regolamento anche particolari ipotesi di trattamento, quale la profilazione, consistente nel trattamento automatizzato dei dati ai fini di valutare aspetti personali di una persona fisica e tracciarne, per l’appunto, un profilo. La rilevanza di tale ipotesi di trattamento concerne innanzitutto la particolare pervasività a livello personale, talché sia possibile rendere prevedibili preferenze o comportamenti dell’interessato.[6] Riflesso di tale impostazione si rinviene nella teorizzazione di un diritto a “non essere sottoposto a una decisione […] che sia basata unicamente su un trattamento automatizzato.”[7]

A ben vedere, non sembra rinvenirsi un carattere eminentemente protettivo del dato in tale logica, bensì si scorge il riconoscimento di un generale interesse di ognuno alla non sostituzione, ai fini della decisione, della propria persona con i corrispondenti dati, come se questi non possano efficacemente sintetizzare l’essenza di una persona, e far sì che l’eventuale decisione verta su questi invece che sulla persona stessa. Latu sensu potrebbe dirsi che tale dato normativo sembri far duplice riferimento da una parte al corretto uso del dato, nell’accezione di vietare la possibilità di assumere decisioni “che producano effetti giuridici che lo riguardino o incidano in modo significativo sulla sua persona”[8] facendo solo affidamento sul trattamento automatizzato dati raccolti tramite il processo di profilazione, prevendo all’uopo la possibilità per l’interessato di “ottenere l’intervento umano, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione”,[9] e da un altro lato sembra affrontare una tematica che, invero, solo apparentemente è afferente all’ambito della regolazione del trattamento dei dati personali, e a più attento scrutinio sembra altresì affrontare il tema della accettabilità della decisione algoritmica, più compiutamente affrontata nella risoluzione del Parlamento europeo del 16 febbraio 2017, avente ad oggetto norme di diritto civile sulla robotica (2015/2103(INL)).[10] Difatti, ciò che viene censurata non è la decisione assunta sui dati ottenuti mediante profilazione, ma la decisione automatizzata.

Il regolamento esclude dal proprio ambito di applicazione i trattamenti effettuati nell’esercizio di attività a carattere esclusivamente personale o domestico, la c.d. household exclusion provision. Tale previsione, presente anche nella previgente direttiva, pone non pochi dubbi interpretativi, non essendo chiaro quando il trattamento assuma carattere personale. Chiarificazioni a tal proposito si rinvengono nel considerando 18, nel quale vengono portate come esempio le attività corrispondenti all’uso dei social network, la corrispondenza o gli indirizzari.

Indubbiamente si ritiene che affinché operi questa scriminante debba essere escluso il fine economico nell’attività posta in essere e il Gruppo di lavoro istituito dall’articolo 29 della precedente direttiva (WP29), oggi sostituito dal Comitato europeo per la protezione dei dati (EDBP), aveva elaborato delle linee guida generali per individuare i casi in cui i trattamenti potevano definirsi personali, e dunque esclusi dall’ambito di applicazione della direttiva, tra questi di particolare rilievo l’attitudine dei dati ad essere diffusi ad un pubblico indeterminato, esistenza o meno di una relazione personale con i soggetti i cui dati sono trattati, esclusione del connotato di professionalità o sistematicità del trattamento svolto, e potenziale illecita intrusione della privacy per il trattamento svolto.[11]

Sono altresì esclusi dall’applicazione del regolamento i trattamenti effettuati dalle autorità preposte alla tutela della pubblica sicurezza nell’esercizio delle loro funzioni, nonché gli uffici, agenzie, istituzione e organi dell’Unione, ai quali si applica invece il regolamento 2001/45/CE, e infine i trattamenti aventi ad oggetto dati di persone defunte.

  1. Ambito di applicazione territoriale.

L’art. 3, par. 1, prescrive che il regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione, e di converso il par. 2 dispone il regolamento troverà applicazione qualora il trattamento abbia ad oggetto dati di interessati che si trovino nell’Unione, quand’anche sia effettuato da soggetti non stabiliti nell’Unione, e infine il par. 3, prescrive l’applicazione del regolamento ai trattamenti effettuati da titolari del trattamento non stabiliti nell’Unione, ma ai quali si applica il diritto di uno stato membro in virtù del diritto internazionale pubblico, come nel caso delle ambasciate.

Il primo paragrafo di tale articolo ripropone il principio di stabilimento, mutando, tuttavia, le accezioni di cui si connotava nella scorsa normativa. Tale principio, difatti all’art. 4, par. 1, della direttiva 95/46/CE esplicava la sua funzione nell’individuazione della legge di attuazione della direttiva applicabile al titolare del trattamento stabilito in un territorio nazionale.[12]

Occorre dunque soffermarsi sulla genesi di tale principio di matrice comunitaria, descritto e regolato in principio negli artt. 49 e ss. del TFUE, ai sensi dei quali le persone fisiche e le società ex art. 54 TFUE possono esercitare attività economiche in paesi membri diversi da quelli in cui sono stabiliti pur mantenendo lo stabilimento nel paese originario (art. 56 TFUE).[13] Ulteriori precisazioni derivano dalla giurisprudenza comunitaria, secondo la CGUE la nozione di stabilimento implica l’esercizio effettivo di un’attività economica per una durata di tempo indeterminata mediante l’insediamento in pianta stabile.[14] Ulteriori fonti normative europee specificano che, in caso di attività esercitata telematicamente, lo stabilimento non si ha nel luogo dove si trovano gli strumenti materiali, bensì nel luogo dove viene esercitata l’attività.[15]

Ai fini dell’analisi della declinazione di tale principio nell’ambito della protezione dei dati personali (in riferimento alla precedente direttiva) non si può non far riferimento all’attività consultiva del Gruppo di lavoro Articolo 29. Nel parere WP 56 del 2002 il Gruppo di lavoro ha avuto modo precisare come, nel caso in cui fosse intervenuto un responsabile di un paese terzo, il principio dello stabilimento sulla base del paese di origine di per sé non era sufficiente né idoneo a individuare la normativa applicabile, e si spiega il riferimento della direttiva all’ubicazione territoriale degli strumenti utilizzati.[16] Nel parere WP 148 del 2008 è stato precisato che “la forma giuridica dello stabilimento, si tratti di un ufficio locale o di una filiale dotata di personalità giuridica o di un’agenzia affidata a terzi, non è determinante”, e che, ai fini dell’applicabilità della normativa sulla protezione dei dati, occorre che il trattamento sia effettuato “nel contesto delle attività” dello stabilimento, ovverosia che lo stabilimento sia in una certa misura rilevante per quello specifico trattamento.[17] Altresì, il successivo parere WP 179 del 2010 specifica che “i principali criteri per determinare il diritto applicabile sono l’ubicazione dello stabilimento del responsabile del trattamento e l’ubicazione dei mezzi o strumenti usati quando il responsabile del trattamento è stabilito al di fuori del SEE”, talché “né la cittadinanza o il luogo di residenza abituale dell’interessato, né l’ubicazione fisica dei dati personali sono decisivi per questo scopo”, e che sarebbe più opportuno un approccio orientato al servizio, quando l’attività di trattamento è mirata agli interessati europei.[18]

La giurisprudenza si fa carico di tale orientamento in merito all’applicazione elastica del principio di stabilimento nella sentenza Google Spain,[19] nella quale la Corte di giustizia riconosce che, seppur nominativamente la sede spagnola di Google eserciti attività di comunicazione pubblicitaria mirata sulla base di quanto raccolto dai risultati di ricerca, tale attività è indissolubilmente legata alla relativa e coeva raccolta di dati, ed essendo il trattamento effettuato in tal istanza strettamente inerente alle attività svolte dallo stabilimento spagnolo della società, ne consegue l’applicabilità della direttiva 95/46/CE ai sensi dell’art. 4, par. 1. In particolare, viene riconosciuto che sia sufficiente che il trattamento dei dati non deve essere necessariamente effettuato dallo stesso stabilimento interessato, ma solo che sia effettuato nell’ambito delle attività di quest’ultimo; ciò legittima l’applicazione di una legge nazionale diversa da quella in cui il titolare è stabilito.[20] Tale applicazione estensiva del principio di stabilimento si ritrova nella sentenza Weltimmo,[21] nella quale è specificato che ai fini dell’applicazione di una normativa statale diversa da quella del responsabile del trattamento, occorre che via sia uno stabilimento in tale territorio connotato da un’organizzazione stabile che eserciti attività reali ed effettive, seppure minime. Una ulteriore precisazione sulla portata del principio di stabilimento si ebbe nell’ambito nel caso Amazon del 2016, nell’ambito del quale la Corte di Giustizia ha affermato che il trattamento dei dati personali effettuato da un’impresa che offre beni e servizi deve essere regolato secondo la normativa dello stato destinatario di tali offerte, qualora sia accertato che il trattamento avvenga nell’ambito dell’attività di uno stabilimento.[22]

Tali interpretazioni estensioni della previgente normativa sono confluite nel regolamento (UE) 2016/679, il quale recita al considerando 22, facendo da contrappunto all’art. 3, par. 1: “qualsiasi trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica”. Il principio di stabilimento, dunque, non opera di per sé, ma è assistito dalla necessaria presenza di un nesso tra trattamento e attività dello stabilimento.

Il regolamento adotta così una logica binaria, orientata da un lato a regolare ogni trattamento effettuato da soggetti stabiliti nell’unione, a prescindere dalla forma giuridica assunta dal titolare del trattamento e dal fatto che questo sia effettuato nell’Unione, e d’altro lato a tutelare gli interessati collocati nell’Unione soggetti a trattamenti anche da parte di soggetti non stabiliti nell’Unione. In quest’ultimo caso, di particolare rilevanza per la sua portata innovatrice, l’art 3, par. 2, specifica che il regolamento trova applicazione se il trattamento ha ad oggetto attività di:

a) offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;

b) monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Il par. 2 dell’art. 3 enuncia il principio del targeting,[23] che a tal proposito richiede la verifica in concreto il verificarsi di condotte sussumibili nelle lettere a) e b) dell’art. 3, par. 2. Tuttavia, la volontà del titolare di offrire beni e servizi non sempre è di semplice accertamento, dato il carattere aterritoriale della rete, che permette di accedere indiscriminatamente a qualunque sito del globo. A tal fine il considerando 23 specifica che la mera accessibilità del sito web del titolare, o altre coordinate di contatto, o l’impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono elementi insufficienti per accertare tale intenzione. Altresì bisognerà accertare che il titolare del trattamento abbia preso gli accorgimenti necessari per permettere all’interessato di usufruire di tale offerta di beni e servizi, ad esempio predisponendo servizi di spedizione di beni specifici per determinati stati o continenti, o impostando la possibilità di scegliere una lingua adoperata negli stati membri, e qualunque altro fatto idoneo a manifestare la inequivoca volontà del titolare di offrire beni e servizi agli interessati nell’Unione, come conferma anche la giurisprudenza comunitaria, che ha elaborato ulteriori criteri ermeneutici sempre improntati sull’accertamento della inequivocabilità della condotta del titolare del trattamento.[24] Altresì, il considerando 24 specifica che le attività di monitoraggio del comportamento deve, ai fini dell’applicazione del regolamento, avvenire all’interno dell’Unione, e che attività di trattamento idonee a costituire attività di profilazione sono assimilabili ad attività di controllo, quando caratterizzate da attitudine ad analizzare e prevedere “le preferenze, i comportamenti e le posizioni personali” dell’interessato. Ciò che non viene preso in considerazione né dall’articolo 3, par. 2, lett. b), né dal considerando 24, è l’intenzionalità del targeting del titolare del trattamento.[25] È difatti indubbio che ogni dato personale potrebbe essere idoneo a essere raffrontato con altri dati al fine di ottenere un monitoraggio dei comportamenti dell’interessato, bisogna dunque operare un discrimen a seconda che tale intento profilatorio sussista in capo al titolare o meno.

  1. GDPR e ultraterritorialità.

L’estensione dell’applicazione del regolamento a soggetti anche non stabiliti nell’Unione costituisce una rara istanza di estensione ultraterritoriale della legge europea. Non di certo una novità in ambito internazionale, basti ricordare il Children’s Online Privacy Protection Act (COPPA) statunitense, che trova applicazione anche nei riguardi di siti stranieri che raccolgono informazioni personali da bambini su territorio statunitense.[26] La ubicazione fisica del sito non rileva, l’unico elemento avente importanza è il fatto che il gestore del sito web destini il suo sito alla fruizione da parte di bambini di età inferiore ai 13 anni, o che abbia coscienza che in ogni caso il sito raccoglie informazioni da bambini. Tendenzialmente potrebbe attribuirsi alla legge un nuova attitudine, un connotato di ultraterritorialità, ma, a più attenta analisi, tale non è altro che un semplice rafforzamento della tutela in capo ai soggetti interessati, tramite estensione del novero di ipotesi di trattamento coperte dal regolamento; gli interessati in questioni debbono purtuttavia trovarsi nell’Unione per godere della posizione giuridica rafforzata ai sensi del regolamento. Dunque, la norma europea solo apparentemente si sovrappone alle leggi nazionali extraeuropee per sovrascriverne l’effetto, mentre in realtà questa non esce dal territorio europeo, limitandosi a tutelare in ogni caso chi è soggetto passivo di un trattamento nel territorio europeo. Il potere statale (ed europeo) sembra radicarsi dunque non solo più sul territorio, ma anche sulla persona.[27] A livello europeo non si può non rammentare la sentenza della Corte eur. Giust. eDate Advertising e Martinez,[28] nella quale la Corte ha avuto occasione di specificare come, in caso di diffamazione a mezzo internet, il soggetto leso potrà chiedere integrale risarcimento del danno sia dinanzi ai giudici dello stato membro in cui è avvenuta la lesione, sia dinanzi ai giudici dello stato dove vi sia il proprio “centro d’interessi”, altresì potrà agire dinanzi ai giudici di ogni stato membro dal quale fosse accessibile l’informazione ritenuta lesiva;[29] seppur in riferimento a un ambito differente, e seppur rimanendo nell’ambito intreaeuropeo, tale sentenza testimonia un allentamento della rigidità del principio di territorialità in riferimento alla giurisdizione europea, naturale conseguenza dell’adozione di massa delle tecnologie che sempre più eliminano gli spazi e le distanze nell’instaurarsi delle relazioni giuridiche, che, senza una rimodulazione di tali criteri, renderebbero i consumatori e gli interessati mercé di sofisticati meccanismi posti in essere da titolari del trattamento, atti ad eludere determinate giurisdizioni, in forme infauste di forum shopping.[30] In particolare, nell’ambito della tutela dei dati personali, si esporrebbero gli interessati a rischi derivanti da tutti gli ormai inevitabili trattamenti da parte di titolari non stabiliti in Europa, rendendo finanche vani gli sforzi della nuova normativa di tutela preventiva connotata da effettività e tempestività.

  1. Conclusioni.

Il regolamento (UE) 2016/679 abbraccia dunque soluzioni volte a dare tutela effettiva e concreta agli interessati, in un tempo in cui il dato personale è oggetto di trattamenti incontrollati, approntando logiche rimediali alla predeterminazione di obblighi in capo al titolare, responsabilizzato a tal fine nella scelta dei mezzi più idonei per tutelare l’interessato. L’estensione dell’ambito di applicazione recepisce il percorso evolutivo dottrinale e giurisprudenziale del principio di stabilimento e del criterio territoriale elastico della giurisdizione europea, rendendo tale regolamento un fine esempio di normazione abbastanza robusta da porre rimedio a incertezze del passato, e sufficientemente liquida da garantirne una longevità finanche necessaria, nella logica dell’effettività della tutela.

(*) Libera Università Internazionale degli Studi Sociali “Guido Carli”.

[1] Cfr. S. Rodotà, Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, in Rivista Critica del Diritto Privato, 1997, p. 583 e ss., P. Rescigno, voce Personalità (diritti della), in Enc. giur. Treccani, vol. XXVI, pp. 1-14, P. Rescigno, Protezione dei dati e diritti della personalità, in V. Cuffaro, V. Ricciuto, V. Zeno Zencovich, Trattamento dei dati e tutela della persona, Milano, 1998.

[2] Cfr. V. Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, Il diritto dell’informazione e dell’informatica, 4/5, pp. 689-726.

[3] I principi di liceità, correttezza, e trasparenza, individuati nell’art. 5 del regolamento.

[4] Si veda in proposito il considerando 26 del regolamento: “I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile”.

[5] Considerando 28: “L’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati”.

[6] L’ipotesi di profilazione ai fini di somministrazione di pubblicità mirate è analizzata dal considerando 70, ma ciò non costituisce l’unica applicazione pratica di tale forma di trattamento. Si pensi ai casi, di certo non di mero interesse accademico, per cui i dati raccolti siano ceduti a società che ne facciano uso per operare propaganda politica mirata.

[7] Art. 22, vedi anche il considerando 71 e 72.

[8] Escludendosi dal novero di tali decisioni quelle assunte ai fini di monitoraggio e prevenzione delle frodi, dell’evasione fiscali, quelle assunte

[9] Per una esegesi delle disposizioni del regolamento riguardanti la profilazione si veda il parere WP 251, 2018, del WP29.

[10] Cfr. A. Amidei, Robotica intelligente e responsabilità: profili e prospettive evolutive del quadro normativo europeo, in Ugo Ruffolo, Intelligenza artificiale e responsabilità, Giuffrè, 2017, pp. 63-104.

[11] WP29, Proposals for Amendments regarding exemption for personal or household activities.

[12] L’art. 4, par. 1, della direttiva 95/46/CE, rubricato “Diritto nazionale applicabile” stabiliva:

Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:

a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;

b) il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico;

c) il cui responsabile, non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea”.

La portata armonizzatrice caratteristica della direttiva comportava la inevitabile non totale uniformità delle normazioni attuative nazionali, ergo il contenuto dell’art. 4 appena citato, atto ad essere idoneo a coordinare normative nazionali necessariamente diverse (seppur attuative di una medesima direttiva). Tuttavia, la volontà del legislatore europeo, nel riformare tale materia, di imporre la massima armonizzazione tramite l’emanazione di un regolamento, e non di una direttiva, ha contestualmente comportato l’esigenza di ridefinire il comportamento del principio di stabilimento all’interno della normativa in materia di tutela del dato personale.

[13] Cfr. G. Caggiano, L’interpretazione del “contesto delle attività di stabilimento” dei responsabili del trattamento dei dati personali, in Diritto dell’informatica e dell’informazione, 4/5, 2014, pp. 605-622.

[14] Causa C-221/89 Factortame (1991), Raccolta della giurisprudenza I-3905, paragrafo 20.

[15] Direttiva 2000/31/CE, considerando 19.

[16] Art. 4, par. 1, lett. c) direttiva 95/46/CE.

[17] Gruppo di lavoro Articolo 29, parere 1/2008, p. 10. I casi in cui lo stabilimento è rilevante ai fini del trattamento vengono di seguito così esemplificati:

– uno stabilimento è responsabile delle relazioni con gli utenti del motore di ricerca in una data giurisdizione;

– un provider apre un ufficio in uno Stato membro (SEE) per la vendita di pubblicità mirata ai suoi abitanti;

– lo stabilimento del provider si conforma alle decisioni giudiziarie e/o alle richieste delle competenti autorità di contrasto di uno Stato membro riguardo ai dati utente.

[18] Gruppo di lavoro Articolo 29, parere 8/2010 (WP 179).

[19] Sentenza della Corte (Grande Sezione) del 13 maggio 2014, causa C‑131/12.

[20] Cfr. Caggiano, Ibid., pp. 610-615.

[21] Cort. eur. gius. C-230/14.

[22] Cfr. L. Valle, L. Greco, Transnazionalità del trattamento dei dati personali e tutela degli interessati, tra strumenti di diritto internazionale privato e la prospettiva di principi di diritto privato di formazione internazionale, in Diritto dell’informazione e dell’informatica, 2, 2017, pp. 169-224 .

[23] Letteralmente “prendere di mira” l’interessato, o tramite offerta di beni e servizi, o tramite monitoraggio dei comportamenti.

[24] In particolare, in Pammer v. Reederei Karl Schlüter GmbH & Co e Hotel Alpenhof v. Heller, cause riunite C-585/08 e C-144/09, la Corte di giustizia dell’Unione europea ha elaborato i seguenti indici indiziari sulla sussistenza di tale volontà: l’UE o almeno uno stato membro è nominato in riferimento ai beni e servizi offerti; uso da parte del titolare del trattamento di servizi per facilitare l’accesso al sito ai consumatori dell’Unione; uso di pubblicità dirette ai consumatori europei; la natura prettamente internazionale dell’attività in questione, come ad esempio quella turistica; la menzione di contatti appositi per i consumatori europei; l’uso di dominî di primo livello riferibili a nazioni diverse da quella in cui il titolare del trattamento è stabilito; la presenza di indicazioni di viaggio per uno o più stati membri per il raggiungimento del luogo dove il servizio è offerto, la menzione di una clientela internazionale composta da consumatori provenienti da vari stati membri; l’uso della lingua e valuta diversa da quella generalmente utilizzata del paese del titolare del trattamento; offerta di spedizione dei beni presso gli stati membri.

[25] Cfr. European Data Protection Board, Linee Guida 3/2018 sull’ambito territoriale del GDPR.

[26] Cfr. Gruppo di lavoro Articolo 29, parere WP 56 del 2002, pp. 4-5.

[27] Sulla crisi del rapporto tra giurisdizione e  territorio  cfr. P. Biavati, Giurisdizione civile,  territorio e ordinamento aperto, Milano, 1977

[28] 25 ottobre 2011, Cause riunite c-509/09 e C-161/10.

[29] Cfr. F. Rolfi, Dalla competenza alla giurisdizione: le “mobili frontiere”di Internet, in Corr. giur., 6, 2012, p. 760 ss; A. Barletta, La tutela effettiva della privacy nello spazio (giudiziario) europeo nel tempo (della “aterritorialità”) di Internet, Europa e diritto privato, 4, 2017, pp. 1179-1205.

[30] A tal proposito si veda anche la sentenza Shevill, causa C-68/93, in merito alla possibilità di accedere alle corti di ogni stato membro dai quali l’informazione (lesiva) sia accessibile. Cfr. Barletta, Ibid., nota 15.

Lascia un commento