Dopo le storiche pronunce Google Spain e Weltimmo, la Corte di Giustizia dell’Unione Europea torna ad occuparsi degli “spazi di manovra” delle legislazioni nazionali dei paesi membri dell’Unione in materia di protezione dei dati personali.
Nel caso C-191/15, un’Associazione per la salvaguardia dei diritti dei consumatori austriaca (cfr. VKI), conviene in giudizio Amazon Europa, con sede in Lussemburgo. La questione è:
Amazon Europa, situata in Lussemburgo e soggetta al diritto lussemburghese, può far innescare la diretta applicabilità del diritto lussemburghese in materia di protezione dei dati personali, in relazione all’e-commerce per i consumatori con sede in Austria, oppure deve necessariamente rispettare la legislazione austriaca in tale materia?
La Corte interviene nella questione in esame citando sia la sentenza Google Spain del 2012 che la sentenza Weltimmo del 2015. Essa afferma che l’interpretazione estensiva del caso Google Spain non possa essere applicata nel caso in esame a causa di una differenza fondamentale:
- nel caso Google Spain, senza l’interpretazione estensiva della nozione di stabilimento, ci sarebbe stato il rischio che le attività di trattamento di Google non avrebbero potuto essere soggette alla legislazione europea in materia di protezione dei dati personali;
- nel caso VKI c. Amazon invece, se la legge sulla protezione dei dati personali austriaca non si applica a causa dell’assenza di uno stabilimento fisico in territorio austriaco, è certo che si applicheranno in ogni caso le leggi sulla protezione dei dati di un altro Stato membro, quindi del Lussemburgo. Di conseguenza, i dati personali trattati saranno comunque protetti dalla normativa europea in materia di protezione dei dati personali.
Confermando sostanzialmente Weltimmo invece, la Corte riafferma che il trattamento dei dati personali nel contesto delle attività di uno stabilimento è disciplinato dalla legge dello Stato membro nel cui territorio si trova tale stabilimento.
L’Avvocato Generale (cfr. Henrik Saugmandsgaard Øe) ha precisato che Amazon Europa può fornire un servizio post vendita ai clienti austriaci senza che questo riguardi attività di trattamento dei dati personali.
La Corte europea, considerato che la legge del Lussemburgo vada sempre applicata nei contratti tra Amazon Europa e i suoi clienti, ha affermato che in materia di protezione dei dati personali è compito del giudice nazionale determinare se Amazon effettua il trattamento dei dati personali nel contesto delle attività di uno stabilimento situato in uno Stato membro diverso dal Lussemburgo. Da ciò si comprende come le clausole commerciali contenute nei contratti con i consumatori siano irrilevanti nella questione in merito a quale legislazione in materia di protezione dei dati personali applicare.
La Corte europea, secondo il parere dell’Avvocato Generale, non ha discusso se vi sia stata o meno una divergenza tra le sue precedenti decisioni nelle sentenze Weltimmo e Google Spain; essa ha – piuttosto – semplicemente applicato un’interpretazione più ampia della nozione di stabilimento nel secondo caso. Secondo Saugmandsgaard Øe la Corte avrebbe applicato un’interpretazione più ampia nel caso Google Spain, perché altrimenti la legislazione in materia di protezione dei dati personali europea non avrebbe potuto trovare applicazione.
Ciò che invece la Corte ha discusso riguarda l’applicazione dei criteri che aveva precedentemente stabilito nel caso Weltimmo. I giudici europei hanno ribadito che il trattamento dei dati personali si estende ad una reale ed efficace attività, anche minima, esercitata attraverso precise disposizioni: deve essere valutato caso per caso l’effettivo esercizio di tali attività nello Stato membro, affinché possa essere determinata con precisione quale diritto nazionale applicare.
La Corte ha ulteriormente disposto che il fatto che l’impresa titolare del trattamento dei dati non disponga di una succursale o di una filiale in uno Stato Membro, non significa che non abbia uno stabilimento in tale Stato Membro: non si tratta di stabilimento fisico, bensì del contesto delle attività dello stabilimento. Questo suggerisce che l’impresa titolare del trattamento possa aver sede in uno Stato membro X, trattare i dati personali nel contesto delle attività dello stabilimento nello Stato membro Y ed essere soggetto alla legislazione in materia di protezione dei dati personali dello Stato membro Y, anche se il trattamento vero e proprio venga realizzato con mezzi presenti in un altro Stato membro o addirittura extra UE.
Possiamo concludere affermando che dopo Google Spain e Weltimmo con il caso Amazon la giurisprudenza e il diritto europeo in materia di protezione dei dati personali si stiano stabilizzando ed uniformando sulla questione in esame. Il che, all’alba della nuova era rappresentata dal Regolamento UE 679/2016 (GDPR) – che entrerà in vigore il 28 maggio 2018 – pare disegnare un meccanismo standard nella scelta del diritto da applicare al caso concreto.
Fonte: technolawgies.com, scritto da
, 01/09/16