Trattamento dati di una società estera

di Anna Fabi

9 Novembre 2015 09:00

logo PMI+ logo PMI+
La normativa di uno Stato UE sulla tutela dei dati personali può essere applicata a una Società straniera che vi svolge un'attività effettiva tramite organizzazione stabile.

Internazionalizzazione
Con la sentenza nella causa C-230/14 la Corte di Giustizia Europea torna sul concetto di “stabilimento” affermando che la normativa di uno Stato membro sulla tutela dei dati personali può essere applicata a una Società straniera che svolge in tale Stato, tramite un’organizzazione stabile, un’attività reale ed effettiva. 
Secondo la Direttiva UE sulla Privacy, infatti, ciascuno Stato membro applica le norme adottate in forza della medesima direttiva nel contesto delle attività svolte sul proprio territorio da uno stabilimento del soggetto responsabile del trattamento dei dati.

Secondo la sentenza, la presenza in uno Stato di un unico rappresentante del soggetto responsabile, in talune circostanze può essere sufficiente a costituire uno «stabilimento» se opera con un grado di continuità sufficiente a fornire i servizi dell’impresa in quel certo Stato. Inoltre, la nozione di «stabilimento» si estende a qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione a carattere permanente.

=> Trasferimento all’estero di dati personali

La Corte ribadisce che le Autorità di controllo degli Stati membri hanno il compito di sorvegliare l’osservanza, nel territorio di tale Stato, delle disposizioni di attuazione della direttiva, adottate da tutti gli Stati membri. Di conseguenza, a ciascuna Autorità può essere presentata da chiunque una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali, anche se il diritto applicabile a tale trattamento è quello di un altro Stato membro (pur senza poter imporre sanzioni al di fuori del territorio del suo Stato).

=> Internazionalizzazione e gestione informazioni

Da tali considerazioni ne consegue che se il giudice accerta che il responsabile del trattamento non dispone di uno «stabilimento», ai sensi della direttiva, il diritto applicabile al trattamento sarà quello di un altro Stato membro. In questo caso non spetterebbe all’autorità di controllo esercitare i poteri sanzionatori attribuitile dal diritto del proprio Stato nazionale. In virtù dell’obbligo di collaborazione previsto dalla direttiva, infatti, tale autorità dovrebbe chiedere all’autorità di controllo dell’altro Stato membro di accertare un’eventuale violazione del diritto di tale Stato e di imporre le eventuali sanzioni da esso previste.

Il caso

Il caso in oggetto riguarda una società registrata in Slovacchia che gestisce un sito web di annunci in Ungheria, trattando i dati personali degli inserzionisti locali.
Sebbene la Corte UE abbia rimesso al giudice del rinvio di accertare in concreto i presupposti di cui sopra, nella decisione si segnala che la società svolge indubbiamente un’attività reale ed effettiva in Ungheria in quanto ha un rappresentante nel registro slovacco delle società con un indirizzo in Ungheria e che ha cercato di negoziare con gli inserzionisti il pagamento dei crediti insoluti. Tale rappresentante è stata la persona di contatto della società, rappresentadola nel corso dei procedimenti amministrativo e giudiziario. A ciò deve aggiungersi che la società ha aperto in Ungheria un conto bancario destinato al recupero crediti e si serve di una casella postale nel territorio ungherese per la gestione dei suoi affari correnti.

Per approfondimenti: il testo integrale della sentenza integrale

_______

Avv. Emiliano Vitelli