|
GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29
Il Gruppo di lavoro stato istituito in virt dellarticolo 29
della direttiva 95/46/CE. lorgano consultivo indipendente dellUE per la
protezione dei dati personali e della vita privata. I suoi compiti sono fissati
allarticolo 30 della direttiva 95/46/CE e allarticolo 15 della direttiva
2002/58/CE. Le funzioni di segreteria sono espletate dalla direzione C
(Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea,
direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190. Sito Internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm Parere 8/2010 - WP 179 sul
diritto applicabile adottato il 16 dicembre 2010 Sintesi Il presente parere chiarisce il campo di applicazione della
direttiva 95/46/CE e, in particolare, dell'articolo 4, che stabilisce le
disposizioni nazionali in materia di protezione dei dati adottate in attuazione
della direttiva applicabili al trattamento dei dati personali. Il parere,
inoltre, mette in evidenza alcuni settori suscettibili di ulteriori
miglioramenti. Definire l'applicabilit del diritto dell'UE al trattamento dei
dati personali serve a chiarire la portata delle norme dell'Unione sulla
protezione dei dati sia nell'UE/nel SEE, sia in un contesto internazionale pi
ampio. Una chiara comprensione del diritto applicabile contribuir a garantire
sia la certezza giuridica per i responsabili del trattamento sia l'esistenza di
un quadro normativo preciso per le persone fisiche e altre parti interessate.
Inoltre, una corretta comprensione delle disposizioni legislative applicabili
dovrebbe assicurare l'assenza di lacune o di elusioni nell'elevato livello di protezione
dei dati personali garantito dalla direttiva 95/46/CE. Per quanto riguarda l'articolo 4, paragrafo 1, lettera a), il
riferimento a "uno" stabilimento significa che l'applicabilit della
legge di uno Stato membro sar determinata dall'ubicazione di uno stabilimento
del responsabile del trattamento in quello Stato membro, e che l'applicabilit
delle leggi di altri Stati membri potrebbe essere determinata dall'ubicazione
di altri stabilimenti di quel responsabile del trattamento in questi Stati
membri. Per far scattare l'applicazione della legge nazionale, decisiva la
nozione di "contesto delle attivit" dello stabilimento. Essa implica
che lo stabilimento del responsabile del trattamento svolge attivit che
comportano il trattamento di dati personali, tenendo conto del suo livello di
partecipazione alle attivit di trattamento, della natura delle attivit e
della necessit di garantire un'effettiva protezione dei dati. Per quanto riguarda la disposizione del "ricorso a
strumenti" di cui all'articolo 4, paragrafo 1, lettera c), che pu
comportare l'applicazione della direttiva a responsabili del trattamento non
stabiliti nel territorio dell'UE/del SEE, il parere chiarisce che dovrebbe
applicarsi nei casi in cui non vi uno stabilimento nell'UE/del SEE che
farebbe scattare l'applicazione dell'articolo 4, paragrafo 1, lettera a) o
in cui il trattamento non effettuato nel contesto di tale
stabilimento. Il parere osserva inoltre che un'interpretazione estensiva della
nozione di "strumenti" – giustificata dall'uso dell'espressione
"mezzi" in altre lingue dell'UE – possa comportare in alcuni
casi l'applicabilit del diritto europeo sulla protezione dei dati laddove il
trattamento in questione non ha un collegamento reale con l'UE/il SEE. Il parere offre altres linee guida e propone esempi per quel che
riguarda: le altre disposizioni dell'articolo 4; gli obblighi di sicurezza
derivanti dalla legge applicabile in virt dell'articolo 17, paragrafo 3); la
possibilit che le autorit per la protezione dei dati esercitino i loro poteri
per controllare e intervenire in un'attivit di trattamento effettuata sul loro
territorio, anche se la legge applicabile quella di un altro Stato membro
(articolo 28, paragrafo 6). Il parere suggerisce inoltre che la formulazione
usata nella direttiva e la coerenza fra le diverse parti dell'articolo 4
trarrebbero vantaggio da ulteriori chiarimenti nell'ambito della revisione del
quadro giuridico generale sulla protezione dei dati. In questa prospettiva, la semplificazione delle norme per la
determinazione del diritto applicabile consisterebbe in un ritorno al principio
del paese di origine: tutti gli stabilimenti di un responsabile del trattamento
nell'UE applicherebbero quindi la medesima legislazione – quella dello
stabilimento principale – indipendentemente dal territorio in cui sono
ubicati. Tuttavia, questa scelta accettabile solo se si raggiunge
un'armonizzazione generale della legislazione nazionale, ivi compresa l'armonizzazione
sugli obblighi di sicurezza. Potrebbero trovare applicazione ulteriori criteri quando il
responsabile del trattamento stabilito al di fuori dell'UE, al fine di
garantire un collegamento sufficiente con il territorio dell'UE, evitando nel contempo
che il territorio dell'UE sia usato per svolgere attivit illecite di
trattamento dei dati da responsabili del trattamento stabiliti in paesi terzi.
Potrebbero essere elaborati, a questo proposito, i criteri che seguono: mirare
alle persone fisiche, ossia applicare il diritto dell'UE sulla protezione dei dati
quando l'attivit che implica il trattamento di dati personali riguarda singole
persone nell'UE; applicare il criterio degli strumenti in via residuale e
limitata, per affrontare casi limite (dati su soggetti di paesi terzi,
responsabili del trattamento che non hanno collegamenti con l'UE) nei quali esiste
una pertinente infrastruttura di trattamento dei dati nell'UE. Il Gruppo per la tutela delle persone
con riguardo al trattamento dei dati personali istituito
con direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995
(Gazzetta ufficiale L 281 del 23.11.1995, pag. 31), visti
l'articolo 29 e l'articolo 30, paragrafi 1, lettera d), e 3 della suddetta
direttiva, visto
il proprio regolamento interno, ha
adottato il presente parere: I. Introduzione II. Osservazioni generali e questioni di
natura politica II.1. Breve excursus: dalla convenzione n.
108 alla direttiva 95/46/CE II.2. Ruolo delle nozioni II.2.a) Contesto e importanza strategica II.2.b) Campo di applicazione del diritto
dell'UE e del diritto nazionale nell'UE/nel SEE II.2.c) Evitare lacune e sovrapposizioni
inopportune II.2.d) Diritto applicabile e giurisdizione
nel contesto della direttiva III. Analisi delle disposizioni III.1. Responsabile del trattamento stabilito
in uno o pi Stati membri (articolo 4, paragrafo 1, lettera a a) "() uno stabilimento del
responsabile del trattamento nel territorio dello Stato membro ()" b) "() trattamento di dati personali
effettuato nel contesto delle attivit (...)" III.2. Responsabile del trattamento stabilito
in un luogo dove si applica la legge dello Stato membro a norma del diritto
internazionale pubblico (articolo 4, paragrafo 1, lettera b) III.2.a) "() il () responsabile del
trattamento non stabilito nel territorio dello Stato membro ()" III.2.b) "(), ma in un luogo in cui si
applica la sua legislazione nazionale, a norma del diritto internazionale
pubblico III.3. Responsabile del trattamento non
stabilito nel territorio comunitario, ma che tratta dati ricorrendo a strumenti
situati in uno Stato membro (articolo 4, paragrafo 1, lettera c) a) "() responsabile non stabilito nel
territorio della Comunit ()" b) "() ricorre, ai fini del trattamento
di dati personali, a strumenti, automatizzati o non automatizzati, situati nel
territorio di detto Stato membro c) "() a meno che questi non siano
utilizzati ai soli fini di transito nel territorio della Comunit europea d) "() deve designare un rappresentante
stabilito nel territorio di detto Stato membro ()" (articolo 4, paragrafo
2) III.4. Considerazioni sulle conseguenze
pratiche dell'applicazione dell'articolo 4, paragrafo 1, lettera c III.5. Diritto applicabile alle misure di
sicurezza (articolo 17, paragrafo 3) III.6. Competenza e collaborazione delle
autorit di controllo (articolo 28, paragrafo 6 III.6.a) "() ciascuna autorit di
controllo, indipendentemente dalla legge nazionale applicabile al trattamento
in questione, competente ()" III.6.b) "() per esercitare, nel
territorio del suo Stato membro ()" III.6.c) "() collaborano tra loro nella
misura necessaria allo svolgimento dei propri compiti ()" IV. Conclusioni IV.1. Chiarire le disposizioni vigenti IV.2. Migliorare le disposizioni vigenti ALLEGATO I. Introduzione Definire
il diritto applicabile al trattamento dei dati personali a norma della
direttiva 95/46/CE ("direttiva" o "direttiva 95/46") una
questione fondamentale per tutta una serie di motivi. Le disposizioni sul
diritto applicabile sono fondamentali per individuare la portata esterna del
diritto dellUE in materia di protezione dei dati, in altre parole per stabilire
in che misura il diritto europeo sulla protezione dei dati applicabile al trattamento
dei dati personali che viene effettuato totalmente o parzialmente al di fuori dell'UE/del
SEE, ma che ha comunque con questo un collegamento importante. Tuttavia, le
norme sul diritto applicabile delineano anche il campo di applicazione delle
norme sulla protezione dei dati nell'UE/nel SEE, in modo da evitare possibili
conflitti e sovrapposizioni fra le leggi nazionali degli Stati membri
dell'UE/del SEE che attuano la direttiva1. Inoltre,
una corretta comprensione delle disposizioni legislative applicabili dovrebbe assicurare
l'assenza di lacune o di elusioni nell'elevato livello di protezione dei dati personali
garantito dalla direttiva 95/46. La
direttiva contiene una serie di disposizioni concernenti la questione del
diritto applicabile, in particolare l'articolo 4, l'articolo 17 e l'articolo
28, che stabiliscono la legge nazionale di protezione dei dati applicabile in
virt della direttiva e l'autorit incaricata della sua applicazione.
importante tenere a mente che esiste un'interazione fra diritto sostanziale e
giurisdizione. Questo aspetto verr esaminato nei dettagli in appresso.
stato osservato che l'attuazione e l'interpretazione delle disposizioni della
direttiva sul diritto applicabile sono lungi dall'essere uniformi nell'Unione
europea. La "Prima relazione sull'applicazione della direttiva sulla
tutela dei dati" della Commissione ha evidenziato che l'attuazione
dell'articolo 4 della direttiva in molti casi era "lacunosa, con la
conseguenza che potrebbero insorgere tra le legislazioni conflitti di quel tipo
che l'articolo intendeva evitare"2.
Secondo l'allegato tecnico della relazione, che presenta un'analisi dettagliata
di diverse disposizioni nazionali, un siffatto recepimento lacunoso potrebbe
spiegarsi in parte con la complessit della disposizione stessa. Similmente,
uno studio commissionato dalla Commissione europea3 pone
l'accento sull'ambiguit e sulla contrastante attuazione delle disposizioni
della direttiva sul diritto applicabile e raccomanda: "sono
estremamente necessarie regole migliori, pi chiare e univoche sul diritto
applicabile". Pi di recente, nella comunicazione della Commissione
"Un approccio globale alla protezione dei dati personali nell'Unione
europea"4 si legge: "La Commissione esaminer le modalit per
rivedere e chiarire le disposizioni vigenti in materia di diritto applicabile,
compresi gli attuali criteri determinanti, al fine di migliorare la certezza giuridica,
di chiarire le competenze degli Stati membri nell'applicare le norme di protezione
dei dati e di garantire lo stesso livello di protezione alle persone residenti nell'UE,
a prescindere dalla localizzazione geografica dal responsabile del trattamento". La
complessit delle questioni del diritto applicabile sta accentuandosi anche a
causa dell'accresciuta globalizzazione e dello sviluppo di nuove tecnologie: le
imprese operano sempre pi in ambiti giurisdizionali diversi, fornendo servizi
e assistenza 24 ore su 24; Internet facilita la prestazione di servizi e la
raccolta e la condivisione di dati personali in un ambiente virtuale; il cloud
computing (tecnologie informatiche che permettono l'utilizzo di risorse
software distribuite su server remoti) rende difficile accertare l'ubicazione
dei dati personali e degli strumenti usati in un determinato momento.
quindi cruciale che l'esatto significato delle disposizioni della direttiva
concernenti il diritto applicabile sia sufficientemente chiaro a tutte le
persone che partecipano all'attuazione alla direttiva nonch all'applicazione
quotidiana delle leggi nazionali in materia di protezione dei dati nel settore
sia pubblico sia privato. Pertanto,
il Gruppo di lavoro ha deciso di contribuire al chiarimento di alcune disposizioni
chiave della direttiva e di affrontare la nozione di diritto applicabile, cos come
ha gi fatto per la nozione di dati personali e le nozioni di
"responsabile del trattamento" e di "incaricato del
trattamento"5.
Nel presente parere il Gruppo di lavoro far riferimento anche agli altri
pareri nei quali ha gi esaminato la questione del diritto applicabile in
relazione agli argomenti specifici contemplati da quei pareri6. L'obiettivo
finale del Gruppo di lavoro la certezza giuridica nell'applicazione del
diritto dell'UE in materia di protezione dei dati. Ci implica, da un lato, che
gli interessati siano a conoscenza delle norme applicabili per proteggere i
loro dati personali e, dall'altro, che le imprese e altri enti pubblici e
privati sappiano quali norme in materia di protezione dei dati regolano il
trattamento dei dati da loro effettuato. Chiarire
la nozione di diritto applicabile di grande importanza, indipendentemente da eventuali
futuri emendamenti alle attuali disposizioni della direttiva. Le disposizioni attuali
rimarranno valide finch non saranno modificate, e nella misura in cui non sono
modificate. Pertanto, il chiarimento delle disposizioni sul diritto applicabile
contribuir a garantire una migliore osservanza della direttiva in attesa di
eventuali modifiche. Inoltre, nella preparare il presente parere, il Gruppo di
lavoro ha potuto basarsi sull'esperienza maturata nell'applicazione delle
disposizioni attuali al fine di offrire orientamenti al legislatore per
assisterlo in un'eventuale revisione futura della direttiva. Infine,
le disposizioni che stabiliscono il diritto applicabile alla protezione dei
dati sono volte a disciplinare l'applicazione della direttiva nel suo campo di
applicazione, definito all'articolo 3. In quanto tali, interagiranno spesso con
altri settori normativi senza peraltro influenzarli al di l della portata
della direttiva stessa7. II. Osservazioni generali e questioni di natura
politica II.1.
Breve excursus: dalla convenzione n. 108 alla direttiva 95/46/CE Nel 1981 gli
autori della convenzione n. 108, redatta sotto l'egida del Consiglio d'Europa,
hanno individuato i rischi connessi ai conflitti di leggi o al vuoto giuridico
che potrebbero derivare dall'applicazione di leggi nazionali diverse. Quella
convenzione, tuttavia, non conteneva norme specifiche per affrontare tali questioni;
il fatto che prevedesse un "corpus comune di diritto
sostanziale" era considerato la principale garanzia che, pur in presenza
di normative diverse, i principi da applicare alla fine sarebbero gli stessi,
evitando cos differenze in termini di livello di protezione. La
necessit definire di criteri per determinare il diritto applicabile era stata affrontata
dalla Commissione europea in sede di preparazione della direttiva sulla protezione
dei dati. Nella sua proposta iniziale8,
la Commissione aveva individuato l'ubicazione dell'archivio come fattore
determinante primario e la residenza dei responsabili del trattamento come
fattore determinante secondario, quando l'archivio si trova in un paese terzo. Nel
corso della discussione in seno al Parlamento europeo e al Consiglio dell'UE, si
passati dal criterio dell'ubicazione dell'archivio al criterio dello
stabilimento del responsabile del trattamento. L'ubicazione degli strumenti
stata individuata come criterio secondario quando il responsabile del
trattamento non stabilito nell'UE. Il
Consiglio ha intergrato questi criteri e fornito ulteriori indicazioni per
quanto riguarda la nozione di stabilimento. La proposta modificata della
Commissione9 specificava che il trattamento dovrebbe essere effettuato
"nel contesto delle attivit di uno stabilimento" del responsabile
del trattamento, e teneva conto della possibilit che il responsabile del
trattamento possa avere pi stabilimenti in diversi Stati membri. Un importante
cambiamento riguardava il fatto che il criterio principale per determinare il
diritto applicabile non era il luogo in cui il responsabile del trattamento ha
il suo stabilimento principale, ma il luogo in cui vi uno stabilimento
del responsabile del trattamento. Saranno esaminate in appresso le conseguenze
di queste modifiche, in termini di applicazione distributiva, pi che uniforme,
del diritto nazionale in caso di molteplici stabilimenti. II.2.
Ruolo delle nozioni II.2.a)
Contesto e importanza strategica Determinare
l'applicabilit del diritto dell'UE al trattamento dei dati personali, come
detto prima, serve a chiarire la portata delle norme dellUnione sulla protezione
dei dati sia nell'UE/nel SEE, sia in un contesto internazionale pi ampio. Una
chiara comprensione del diritto applicabile contribuir a garantire la certezza
giuridica per i responsabili del trattamento nonch l'esistenza di un quadro
normativo preciso per le persone fisiche e le altre parti interessate. L'individuazione
del diritto applicabile strettamente collegata all'individuazione del
responsabile del trattamento10 e del suo o dei suoi stabilimenti: la conseguenza principale di
questo collegamento la riaffermazione delle responsabilit del responsabile
del trattamento e del suo rappresentante nei casi in cui il responsabile del
trattamento stabilito in un paese terzo. Come
sar illustrato pi avanti, ci non significa che il diritto applicabile sar sempre
uno solo, specialmente se il responsabile del trattamento ha pi stabilimenti:
l'ubicazione di quegli stabilimenti e la natura delle rispettive attivit saranno
altrettanto decisive. Tuttavia il chiaro collegamento fra il diritto applicabile
e il responsabile del trattamento pu costituire una garanzia di efficacia e di
applicabilit, specialmente in un contesto in cui pu essere difficile, o
talvolta impossibile, localizzare un archivio (come pu essere il caso nel
cloud computing). Linee
guida univoche sulle norme in materia di diritto applicabile dovrebbero contribuire
ad affrontare nuovi sviluppi tecnologici (Internet; archivi basati su reti/cloud
computing) e commerciali (societ multinazionali). II.2.b)
Campo di applicazione del diritto dell'UE e del diritto nazionale nell'UE/nel
SEE I principali criteri per determinare il diritto applicabile sono
l'ubicazione dello stabilimento del responsabile del trattamento e l'ubicazione
dei mezzi o strumenti11 usati quando il responsabile del trattamento stabilito al di
fuori del SEE. In altre parole, n la cittadinanza o il luogo di residenza
abituale dellinteressato, n l'ubicazione fisica dei dati personali sono
decisivi per questo scopo12. Ci
determina un vasto campo di applicazione, con implicazioni giuridiche che vanno
al di l del territorio del SEE: la direttiva – e le norme nazionali di attuazione
– si applicano al trattamento dei dati personali al di fuori del
territorio del SEE (quando il trattamento effettuato nel contesto di attivit
di uno stabilimento del responsabile del trattamento nel SEE), nonch ai
responsabili del trattamento stabiliti al di fuori del SEE (quando ricorrono a
strumenti situati nel SEE). Di conseguenza, le disposizioni della direttiva
possono essere applicate ai servizi che presentano una dimensione
internazionale, come i motori di ricerca, i social network e il cloud
computing. Questi esempi saranno esaminati nei dettagli pi avanti nel
documento. Laddove
i dati personali sono trattati da un responsabile del trattamento (X) il cui
unico stabilimento ubicato nello Stato membro A, il diritto applicabile al
trattamento sar il diritto nazionale dello Stato membro A, indipendentemente
da dove viene effettuato il trattamento. Laddove
X abbia anche uno stabilimento (Y) nello Stato membro B, il diritto nazionale applicabile
al trattamento da parte di Y sar il diritto nazionale dello Stato membro B, purch
il trattamento sia effettuato nel contesto delle attivit di Y. Se il
trattamento da parte di Y effettuato nel contesto delle attivit dello
stabilimento di X nello Stato membro A, il diritto applicabile al trattamento
sar il diritto dello Stato membro A. Laddove i dati personali sono trattati da
un responsabile del trattamento che non stabilito in alcuno Stato membro, il
trattamento rientrer nel campo di applicazione del diritto nazionale dello
Stato membro nel quale sono situati gli strumenti (o mezzi) cui ricorre il
responsabile del trattamento per trattare i dati. Esempi di questi diversi scenari
saranno esaminati nell'ambito del presente parere. Lo
scopo di questo vasto campo di applicazione in primo luogo garantire che le
persone fisiche non siano private della tutela cui hanno diritto in virt della
direttiva e, nel contempo, impedire l'elusione della legge. La
direttiva prevede criteri per determinare: i)
se il diritto dellUnione – congiuntamente al diritto di un paese terzo o
no – si applica a una particolare attivit di trattamento di dati
personali; e ii)
laddove al trattamento si applichi il diritto dellUnione, lo Stato membro il
cui diritto nazionale applicabile al trattamento. Va
anche osservato che alcune attivit di trattamento allinterno dell'UE non
rientrano nel campo di applicazione della direttiva, ma possono fare scattare
l'applicazione di altri strumenti giuridici dell'UE, fra cui la decisione
quadro 2008/977/GAI sulla protezione dei dati personali trattati nell'ambito
della cooperazione giudiziaria e di polizia in materia penale 13, o il regolamento (CE) n. 45/2001
concernente la tutela delle persone fisiche in relazione al trattamento dei
dati personali da parte delle istituzioni e degli organismi comunitari, nonch
la libera circolazione di tali dati14,
o altri strumenti relativi a specifici organismi dell'UE o sistemi di
informazione (ad esempio Europol, Eurojust, SIS, CIS, ecc.)15. II.2.c)
Evitare lacune e sovrapposizioni inopportune Lo
scopo di criteri univoci per determinare il diritto applicabile evitare sia
l'elusione delle norme nazionali degli Stati membri, sia sovrapposizioni delle
medesime. L'applicazione
di una o pi leggi al trattamento dipender dal numero e dalle attivit dello
stabilimento o degli stabilimenti del responsabile del trattamento: o se il
responsabile del trattamento ha un solo stabilimento, sar applicata una sola legge
per l'intera UE/l'intero SEE a seconda dell'ubicazione di detto stabilimento16; o se vi sono pi stabilimenti si applica la
legge nazionale in funzione delle attivit di ogni stabilimento. L'applicazione
dei criteri dovrebbe evitare l'applicazione simultanea di pi leggi nazionali
alla medesima attivit di trattamento. II.2.d)
Diritto applicabile e giurisdizione nel contesto della direttiva Nell'ambito
della protezione dei dati, particolarmente importante distinguere la nozione di
diritto applicabile (che determina il regime giuridico applicabile a una
determinata questione) dalla nozione di giurisdizione (che di solito
indica la competenza di un giudice nazionale a decidere su un caso o a eseguire
una sentenza o un'ordinanza). Il diritto applicabile e la giurisdizione in
relazione a un dato trattamento non sempre possono coincidere. Il
campo di applicazione esterno del diritto dellUnione un'espressione della
capacit dellUE di emanare norme al fine di proteggere interessi fondamentali
nel suo ambito giurisdizionale. Le disposizioni della direttiva determinano
anche la portata dell'applicabilit delle leggi nazionali degli Stati membri,
ma non incidono sulla competenza giurisdizionale dei giudici nazionali a
decidere sulle cause di cui sono stati investiti. Le disposizioni della
direttiva, tuttavia, si riferiscono alla portata territoriale della competenza
delle autorit di controllo che possono applicare e fare rispettare il diritto
applicabile. Sebbene
nella maggior parte dei casi queste due nozioni – diritto applicabile e competenza
delle autorit di controllo – tendano a coincidere, comportando di solito
l'applicazione del diritto dello Stato membro A da parte delle autorit dello
Stato membro A, la direttiva prevede esplicitamente la possibilit di soluzioni
diverse. L'articolo 28, paragrafo 6, indica che le autorit nazionali per la
protezione dati dovrebbero potere esercitare i loro poteri quando la legge in
materia di protezione dei dati di un altro Stato membro si applica al
trattamento di dati personali effettuato nel loro ambito giurisdizionale. Le
conseguenze pratiche di tale aspetto saranno esaminate nei dettagli in un
futuro parere del Gruppo di lavoro. Tali
situazioni comportano il trattamento di casi transfrontalieri ed evidenziano
l'esigenza di cooperazione fra le autorit per la protezione dei dati, tenendo
conto dei poteri esecutivi di ogni autorit coinvolta. Ne deriva altres la
necessit che le norme nazionali attuino in modo corretto le disposizioni
pertinenti della direttiva, poich ci pu essere decisivo per un'efficace
cooperazione e applicazione transfrontaliera. III. Analisi delle disposizioni La
disposizione chiave sul diritto applicabile l'articolo 4, che determina quali
leggi nazionali in materia di protezione dei dati adottate in attuazione della
direttiva possono essere applicate al trattamento di dati personali. III.1.
Responsabile del trattamento stabilito in uno o pi Stati membri (articolo 4, paragrafo
1, lettera a) La
prima situazione affrontata dall'articolo 4, paragrafo 1, il caso in cui il
responsabile del trattamento ha uno o pi stabilimenti nel territorio dell'UE.
In tale contesto, l'articolo 4, paragrafo 1, lettera a), prevede che uno Stato
membro applichi la propria legge nazionale in materia di protezione dei dati "(...)
al trattamento di dati personali effettuato nel contesto delle attivit di uno
stabilimento del responsabile del trattamento nel territorio dello Stato
membro; qualora uno stesso responsabile del trattamento sia stabilito nel
territorio di pi Stati membri, esso deve adottare le misure necessarie per assicurare
l'osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi
stabiliti dal diritto nazionale applicabile".
utile ricordare che la nozione di "responsabile del trattamento"
definita all'articolo 2, lettera d), della direttiva. Questa definizione non
sar analizzata nel presente parere, dato che gi stata chiarita dal Gruppo
di lavoro nel suo parere sui concetti di "responsabile del
trattamento" e di "incaricato del trattamento"17.
inoltre importante sottolineare che uno stabilimento non deve necessariamente
avere personalit giuridica e che la nozione di stabilimento ha collegamenti
flessibili con la nozione di controllo. Un responsabile del trattamento pu
avere pi stabilimenti, i corresponsabili del trattamento possono concentrare
attivit in un solo stabilimento o in diversi stabilimenti. L'elemento decisivo
per qualificare uno stabilimento ai sensi della direttiva l'esercizio
effettivo e reale di attivit nel contesto delle quali sono trattati dati personali. a)
"() uno stabilimento del responsabile del trattamento nel territorio
dello Stato membro ()" La nozione di stabilimento non viene definita nella
direttiva. Il preambolo della direttiva indica, tuttavia, che "lo
stabilimento nel territorio di uno Stato membro implica l'esercizio effettivo e
reale dell'attivit mediante un'organizzazione stabile; [e] che la forma
giuridica di siffatto stabilimento, si tratti di una semplice succursale o di
una Per quanto riguarda la libert di stabilimento di cui all'articolo 50
TFUE (ex articolo 43 CE), la Corte di giustizia ha considerato che uno
stabilimento stabile implica "la presenza permanente di mezzi umani e
tecnici necessari per determinate prestazioni di servizi"18 . Il
forte risalto posto nel preambolo della direttiva a un "esercizio
effettivo e reale di attivit mediante un'organizzazione stabile" riprende
chiaramente il "centro di attivit stabile" cui ha fatto riferimento
la Corte di giustizia allepoca dell'adozione della direttiva. Sebbene non sia
chiaro se questa e le successive interpretazioni della Corte di giustizia della
libert di stabilimento di cui all'articolo 50 TFUE possano essere pienamente
applicate alle situazioni contemplate dall'articolo 4 della direttiva sulla protezione
dei dati, l'interpretazione della Corte in quei casi pu fornire un'utile guida
in sede di analisi della formulazione della direttiva. Tale
interpretazione usata negli esempi seguenti. -
Laddove ha luogo un "effettivo e reale esercizio di attivit", ad
esempio nello studio di un avvocato, mediante un'"organizzazione
stabile", lo studio rappresenterebbe uno stabilimento. -
Un server o un computer non potrebbero essere considerati uno stabilimento
perch si tratta solo di una struttura tecnica o di uno strumento per il
trattamento di informazioni19. -
Un ufficio composto da una sola persona sarebbe uno stabilimento se non si
limita semplicemente a rappresentare un responsabile del trattamento stabilito
altrove e partecipa attivamente alle attivit nel contesto delle quali ha luogo
il trattamento dei dati personali. -
In ogni caso, la forma dell'ufficio non decisiva: anche un semplice agente
pu essere considerato uno stabilimento rilevante se la sua presenza nello
Stato membro presenta una stabilit sufficiente. Quest'ultima causa verteva sulla questione se un server aziendale,
ubicato in un paese diverso dal paese del fornitore del servizio, potesse
essere considerato come centro di attivit stabile. Lo scopo era individuare in
quale paese dovesse essere pagata l'IVA. Il giudice ha rifiutato di considerare
gli strumenti informatici come stabilimento virtuale (ritornando con questa
interpretazione a una nozione pi "classica" di stabilimento, diversa
da quella adottata nella precedente sentenza del 17 luglio 1997, ARO Lease /
Inspecteur der Belastingdienst Grote Ondernemingen te Amsterdam (C-190/95,
Racc. 1997 pag. I-4383). Esempio
n. 1: pubblicazione per viaggiatori Una
societ stabilita nello Stato membro A, per produrre una pubblicazione per viaggiatori,
raccoglie dati relativi ai servizi forniti da distributori di benzina nello
Stato membro B. I dati sono raccolti da un impiegato che, spostandosi nello
Stato B, raccoglie e invia fotografie e osservazioni al suo datore di lavoro
nello Stato A. In questo caso, i dati sono raccolti nello Stato B (senza uno
"stabilimento") e sono trattati nel contesto di attivit dello
stabilimento ubicato nello Stato A: il diritto applicabile quello dello Stato
A. L'articolo
4, paragrafo 1, lettera a), riferendosi a uno stabilimento del responsabile
del trattamento sul territorio dello Stato membro, solleva alcune
questioni – diverse dal concetto di stabilimento – che
richiedono chiarimenti. Innanzitutto,
il riferimento a "uno" stabilimento significa che l'applicabilit del
diritto di uno Stato membro sar determinata dall'ubicazione di uno
stabilimento del responsabile del trattamento in quello Stato membro, e
l'applicazione delle leggi di altri Stati membri potrebbe essere determinata
dall'ubicazione di altri stabilimenti di quel responsabile del trattamento in
quegli Stati membri. Anche
se il responsabile del trattamento ha il suo stabilimento principale in un
paese terzo, il solo fatto di avere uno dei propri stabilimenti in uno Stato
membro potrebbe fare scattare l'applicabilit della legislazione di quel paese,
purch siano soddisfatte le altre condizioni dell'articolo 4, paragrafo 1,
lettera a) (cfr. infra sub b). Questo confermato anche dalla seconda parte
della disposizione, che prevede esplicitamente che laddove lo stesso
responsabile del trattamento stabilito sul territorio di diversi Stati
membri, deve garantire che ciascuno degli stabilimenti osservi il diritto
applicabile pertinente. b) "() trattamento di dati personali effettuato
nel contesto delle attivit (...)" La
direttiva collega l'applicabilit del diritto in materia di protezione dei dati
di uno Stato membro ad un'attivit di trattamento di dati personali. La nozione
di "trattamento" gi stata affrontata dal Gruppo di lavoro in via
incidentale in altri pareri, che hanno evidenziato come varie operazioni o
insiemi di operazioni su dati personali possono avere luogo simultaneamente o
in diverse fasi20.
Nel contesto della determinazione della legge applicabile, questo pu
significare che a seconda della fase del trattamento possono applicarsi leggi
diverse. Pertanto,
poich la molteplicit di leggi applicabili costituisce un grave rischio, si dovrebbe
considerare la possibilit di collegamenti a livello macroscopico fra le
diverse attivit di trattamento che portino invece all'applicazione di una sola
legge nazionale. Per determinare se si applicano una o pi leggi alle diverse
fasi del trattamento, importante tenere a mente l'immagine globale delle
attivit di trattamento: un insieme di operazioni svolte in una serie di
diversi Stati membri, ma tutte intese a servire un unico scopo. In tal modo si
potrebbe giungere all'applicazione di un'unica legge nazionale. In
tali circostanze, per individuare il diritto applicabile decisiva la nozione
di "contesto delle attivit", e non l'ubicazione dei dati. La
nozione di "contesto di attivit" non implica che la legge
applicabile sia quella dello Stato membro in cui stabilito il responsabile
del trattamento, ma quella del paese in cui uno stabilimento del
responsabile del trattamento svolge attivit correlate al trattamento di
dati. La
valutazione di diversi scenari potrebbe aiutare a chiarire cosa si intende con
la nozione di "contesto delle attivit" e come essa influenzi la
determinazione del diritto applicabile alle diverse attivit di trattamento in
una serie di diversi paesi. a.
Laddove un responsabile del trattamento ha uno stabilimento in Austria e tratta
dati personali nel contesto delle attivit di quello stabilimento, il diritto
applicabile sar ovviamente quello dell'Austria, che il luogo in cui
ubicato lo stabilimento. b.
Nel secondo scenario, il responsabile del trattamento ha uno stabilimento in
Austria, e nel contesto delle attivit di questo tratta i dati personali
raccolti attraverso il proprio sito web. Il sito web accessibile agli utenti
in vari paesi. Il diritto applicabile in materia di protezione dei dati
quello dell'Austria – che il luogo in cui ubicato lo stabilimento
– indipendentemente da dove si trovano gli utenti e i dati. c.
Nel terzo scenario, il responsabile del trattamento stabilito in Austria e fa
effettuare il trattamento a un incaricato del trattamento in Germania. Il
trattamento in Germania effettuato nel contesto delle attivit del
responsabile del trattamento in Austria; in altre parole, il trattamento
effettuato per i fini aziendali dello stabilimento austriaco e sotto le sue
istruzioni. Il diritto austriaco sar applicabile al trattamento effettuato dall'incaricato
del trattamento in Germania. Inoltre, l'incaricato del trattamento sar soggetto
ai requisiti della legge tedesca per quanto riguarda le misure di sicurezza che
obbligato ad attuare in relazione al trattamento21. Tale organizzazione imporrebbe un controllo
coordinato da parte delle autorit per la protezione dei dati tedesche e austriache. d.
Nel quarto scenario, il responsabile del trattamento stabilito in Austria apre
un ufficio di rappresentanza in Italia, che organizza tutti i contenuti
italiani del sito web e gestisce le richieste degli utenti italiani. Le
attivit di trattamento dei dati svolte dall'ufficio italiano sono effettuate
nel contesto dello stabilimento italiano, pertanto a quelle attivit si applicherebbe
il diritto italiano. Le
conclusioni sul diritto applicabile possono essere tratte solo sulla base di
una precisa comprensione della nozione di "contesto delle attivit".
Ai fini di questa analisi si dovrebbe tenere conto delle seguenti considerazioni: Il
livello di partecipazione di ciascuno stabilimento alle attivit nel cui
contesto sono trattati i dati personali cruciale. A tale riguardo occorre
verificare "chi" sta facendo "cosa", vale a dire quali
attivit sono svolte da quale stabilimento, in modo da potere determinare se lo
stabilimento rilevante per fare scattare l'applicazione del diritto nazionale
in materia di protezione dei dati. Laddove uno stabilimento tratta dati
personali nel contesto delle proprie attivit, la legge applicabile sar quella
dello Stato membro nel quale ubicato detto stabilimento. Laddove lo
stabilimento tratta dati personali nel contesto delle attivit di un altro
stabilimento, la legge applicabile sar quella dello Stato membro in cui
ubicato l'altro stabilimento. La
natura delle attivit degli stabilimenti un elemento secondario, ma aiuter a
individuare la legge applicabile a ciascuno stabilimento; la questione se
un'attivit comporti o meno il trattamento di dati e quale trattamento sia
effettuato nel contesto di quale attivit dipende in gran parte dalla loro
natura. Invece il fatto che diversi stabilimenti possano partecipare ad
attivit totalmente differenti, nel contesto delle quali sono trattati dati
personali, avr un impatto sul diritto applicabile. L'esempio 4 contiene un'illustrazione
di queste considerazioni. Dovrebbe
essere preso in considerazione anche l'obiettivo generale della direttiva, che mira
a garantire una protezione effettiva delle persone fisiche in modo semplice, realizzabile
e prevedibile. Esempio
n. 2: trasferimento di dati personali in relazione al factoring Una
societ di servizi italiana trasferisce informazioni sui propri debitori a una
banca di investimento francese al fine di fattorizzare i crediti sorti in
relazione a bollette elettriche insolute. Questo trasferimento di informazioni
su crediti comporta il trasferimento di dati personali di clienti alla banca di
investimento francese, specificamente alla succursale in Italia (ovvero lo
stabilimento della banca francese in Italia). La
banca di investimento francese un responsabile del trattamento rispetto alle attivit
di trattamento che costituiscono il trasferimento, mentre la succursale
italiana procede alla gestione e al recupero del credito per suo conto. I dati
sono trattati dal responsabile del trattamento sia in Francia sia nella
succursale italiana. Il responsabile del trattamento francese invia a tutti i
clienti italiani informazioni sulla suddetta attivit attraverso la succursale
italiana. La
succursale italiana uno stabilimento ai fini della direttiva, e le sue
attivit consistenti nel trattamento dei dati personali per informare i clienti
degli accordi devono rispettare la legislazione italiana in materia di
protezione dei dati. Anche le misure di sicurezza della succursale italiana
dovranno soddisfare le condizioni definite dalla legislazione italiana in
materia di protezione dei dati, mentre il responsabile del trattamento francese
dovr soddisfare in parallelo gli obblighi di sicurezza previsti dalla Francia
per i dati trattati nel suo stabilimento in Francia. Gli interessati, ovvero i debitori,
possono rivolgersi all'ufficio della succursale italiana per esercitare i loro diritti
in materia di protezione dei dati come l'accesso, la rettifica e la
cancellazione ai sensi della legge italiana. Nell'analisi
di questi criteri dovrebbe essere seguito un approccio funzionale. Pi che la valutazione
teorica effettuata dalle parti sulla legge applicabile, i fattori determinanti dovrebbero
essere il loro comportamento e l'interazione nella pratica: qual il ruolo effettivo
di ogni stabilimento e quale attivit viene svolta nel contesto di quale stabilimento? Va
prestata attenzione al livello di partecipazione di ciascuno stabilimento alle
attivit nel contesto delle quali sono trattati i dati personali. La
comprensione della nozione di "contesto delle attivit" risulta
quindi utile anche in casi complessi per separare le diverse attivit svolte
dai diversi stabilimenti della medesima societ nell'UE. Esempio
n. 3: raccolta di dati di clienti da parte di negozi Una
catena di negozi "prt porter" ha la propria sede principale in
Spagna e negozi in tutta l'UE. La raccolta di dati relativa ai clienti
effettuata in ogni negozio, ma i dati sono trasferiti alla sede principale spagnola
dove sono svolte alcune attivit correlate al trattamento dei dati (analisi dei
profili dei clienti, servizio ai clienti, pubblicit mirata). Attivit
come il marketing diretto nei confronti dei clienti europei sono gestite esclusivamente
dalla sede principale in Spagna. Si potrebbe considerare che tali attivit sono
effettuate nel contesto delle attivit dello stabilimento spagnolo. Pertanto, a
queste attivit di trattamento sarebbe applicabile la legge spagnola. Tuttavia,
i singoli negozi rimangono responsabili degli aspetti del trattamento dei dati personali
dei loro clienti che viene effettuato nel contesto delle attivit del negozio
(ad esempio la raccolta di informazioni personali sui clienti). Nella misura in
cui il trattamento effettuato nel contesto delle attivit di ciascun negozio,
tale trattamento soggetto alla legge del paese in cui stabilito il negozio
in questione. Una
conseguenza pratica diretta di questa analisi che ciascun negozio deve
adottare le misure necessarie per informare gli interessati delle condizioni
della raccolta e dell'ulteriore trattamento dei loro dati ai sensi della
rispettiva legislazione nazionale. I
clienti possono rivolgersi direttamente all'autorit per la protezione dei dati
del loro paese in caso di denuncia. Se la denuncia riguarda azioni di marketing
diretto nel contesto delle attivit della sede principale spagnola, l'autorit
per la protezione dei dati locale deferirebbe il caso all'autorit per la
protezione dei dati spagnola.
quindi possibile che un unico stabilimento partecipi ad una serie di diversi
tipi di attivit, e che diverse leggi nazionali siano applicabili al
trattamento di dati nel contesto di queste attivit diverse. Per consentire un
approccio prevedibile e realizzabile che preveda la possibilit di applicare
pi leggi nazionali alle varie attivit di un unico stabilimento, si dovrebbe
usare un approccio funzionale, che tenga conto del contesto giuridico
allargato. Esempio
n. 4: banca dati centrale per le risorse umane Nella
pratica sono sempre pi frequenti le situazioni in cui una stessa banca dati
pu essere soggetta a diverse leggi applicabili. Ci accade spesso nel settore
delle risorse umane, dove filiali/stabilimenti ubicati in diversi paesi
accentrano i dati dei dipendenti in un'unica banca dati. Sebbene tale fenomeno
si verifichi soprattutto per motivi di economie di scala, non dovrebbe incidere
sulle responsabilit di ciascuno stabilimento ai sensi della legislazione
locale. Questo vale non solo nella prospettiva della protezione dei dati, ma
anche nel contesto delle disposizioni del diritto del lavoro e dell'ordine pubblico. Se,
ad esempio, i dati dei dipendenti di una filiale irlandese (da considerarsi uno
stabilimento) fossero trasferiti a una banca dati centrale nel Regno Unito,
dove sono conservati anche i dati dei dipendenti della filiale/dello
stabilimento del Regno Unito, si applicherebbero due diverse legislazioni sulla
protezione dei dati (irlandese e britannica). L'applicazione
di due diverse legislazioni nazionali non deriva semplicemente dallorigine dei
dati in due diversi Stati membri, ma va invece attribuita al fatto che il trattamento
dei dati dei dipendenti irlandesi da parte dello stabilimento britannico effettuato
nel contesto delle attivit dello stabilimento irlandese in veste di datore di lavoro. Questo
esempio indica che la legge nazionale applicabile non si determina in base al luogo
in cui sono inviati o situati i dati. I fattori chiave sono la natura e il
luogo delle normali attivit che definiscono il "contesto" nel quale
effettuato il trattamento: i dati sulle risorse umane o sui clienti sono
quindi normalmente soggetti alla legge sulla protezione dei dati del paese in
cui si svolge l'attivit nel contesto della quale i dati sono trattati. Questo
conferma anche lassenza di correlazione diretta fra legge nazionale applicabile
e giurisdizione, dato che la legge nazionale pu applicarsi al di fuori della giurisdizione
nazionale. In sintesi, i criteri usati per determinare il diritto applicabile
hanno un impatto a diversi livelli: o
in primo luogo, aiutano a stabilire se sono applicabili le norme dellUnione
sulla protezione dei dati; o
in secondo luogo, laddove si applicano le norme dellUnione sulla protezione
dei dati, i criteri determineranno a)
la legge nazionale in materia di protezione dei dati applicabile, e b)
in caso di pi stabilimenti in diversi Stati membri, la legge nazionale sulla protezione
dei dati che si applica a una determinata attivit di trattamento; o
in terzo luogo, i criteri saranno utili laddove vi una dimensione
extraeuropea delle attivit di trattamento – come nell'esempio seguente
in cui il responsabile del trattamento stabilito al di fuori del SEE. Esempio
n. 5: fornitore di servizi Internet (ISP) Un
fornitore di servizi Internet (il responsabile del trattamento) ha la sede
centrale al di fuori dell'UE, ad esempio in Giappone. Ha uffici commerciali
nella maggior parte degli Stati membri dell'UE e un ufficio in Irlanda che si
occupa delle questioni correlate al trattamento dei dati personali, compreso in
particolare il supporto informatico. Il responsabile del trattamento sta
sviluppando un centro dati in Ungheria, con impiegati e server dedicati al
trattamento e alla conservazione dei dati relativi agli utenti dei servizi. Il
responsabile del trattamento in Giappone ha anche altri stabilimenti in vari
Stati membri dell'UE, con diverse attivit: -
il centro dati in Ungheria partecipa solo alla manutenzione tecnica; -
gli uffici commerciali dell'ISP organizzano campagne pubblicitarie generali; -
l'ufficio in Irlanda l'unico stabilimento nell'UE che svolge attivit nel
contesto delle quali sono effettivamente trattati dati personali (nonostante il
contributo della sede centrale giapponese). Le attivit dell'ufficio irlandese fanno
scattare l'applicazione delle norme dellUnione sulla protezione dei dati: i
dati personali sono trattati nel contesto delle attivit dell'ufficio
irlandese, pertanto tale trattamento soggetto diritto dellUnione sulla protezione
dei dati. La
legge applicabile al trattamento effettuato nel contesto delle attivit
dell'ufficio irlandese la legge irlandese sulla protezione dei dati, a
prescindere che il trattamento abbia luogo in Portogallo, in Italia o in
qualsiasi altro Stato membro. Ci
significa, in questa ipotesi, che il centro dati in Ungheria dovrebbe
soddisfare la legislazione irlandese in materia di protezione dei dati per il
trattamento dei dati personali degli utenti del fornitore di servizi, fatta
salva tuttavia l'applicazione della legislazione ungherese a un distinto
trattamento di dati personali da parte del centro dati ungherese, in relazione
alle attivit proprie – ad esempio trattamento di dati personali
concernenti gli impiegati del centro dati. Per
gli uffici commerciali stabiliti in altri Stati membri, se la loro attivit si
limita alla gestione di campagne pubblicitarie generali non mirate a utenti e
che non prevedono il trattamento di dati personali degli utenti, essi non sono
soggetti alle norme dellUnione sulla protezione dei dati. Tuttavia, se
decidono di effettuare un trattamento nel contesto delle loro attivit che
riguardano i dati personali di persone fisiche nel paese in cui sono stabiliti
(come invio di annunci mirati a utenti e possibili utenti futuri per scopi commerciali),
dovranno soddisfare la legislazione locale in materia di protezione dei dati. Se
non pu essere accertato un collegamento fra il trattamento di dati e lo
stabilimento irlandese (il supporto informatico molto limitato e non vi
partecipazione al trattamento di dati personali), altre disposizioni della
direttiva potrebbero ancora fare scattare l'applicazione di principi relativi
alla protezione dei dati, ad esempio se il responsabile del trattamento ricorre
a strumenti nellUE. Questo aspetto esaminato nel paragrafo III.3 sotto. III.2.
Responsabile del trattamento stabilito in un luogo dove si applica la legge
dello Stato membro a norma del diritto internazionale pubblico (articolo 4,
paragrafo 1, lettera b) L'articolo
4, paragrafo 1, lettera b) affronta il caso meno comune in cui la legislazione dello
Stato membro in materia di protezione dei dati si applica laddove "il () responsabile
non stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica
la sua legislazione nazionale, a norma del diritto internazionale
pubblico". III.2.a)
"() il () responsabile del trattamento non stabilito nel territorio
dello Stato membro ()" La
prima condizione dovrebbe essere interpretata nel senso che, per motivi di
coerenza nell'ambito dell'articolo 4, paragrafo 1, il responsabile del
trattamento non ha nel territorio dello Stato membro uno stabilimento che
farebbe scattare l'applicabilit dell'articolo 4, paragrafo 1, lettera a) (cfr.
anche sotto, paragrafo III.3.a). In altre parole, in assenza di uno
stabilimento rilevante nell'UE, non si potrebbe individuare alcuna legislazione
nazionale sulla protezione dei dati a norma dell'articolo 4, paragrafo 1, lettera
a). III.2.b)
"(), ma in un luogo in cui si applica la sua legislazione nazionale, a
norma del diritto internazionale pubblico ()" Tuttavia,
i criteri esterni discendenti dal diritto internazionale pubblico possono determinare,
in situazioni specifiche, l'estensione dell'applicabilit del diritto nazionale
sulla protezione dei dati al di fuori dei confini nazionali. Questo pu
accadere quando il diritto internazionale pubblico o accordi internazionali
stabiliscono la legge applicabile in un'ambasciata o in un consolato, o la
legge applicabile ad una nave o ad un aeromobile. Nei
casi in cui il responsabile del trattamento stabilito in uno di questi luoghi
specifici, la legge nazionale applicabile alla protezione dei dati sar
determinata dal diritto internazionale. Tuttavia,
importante, sottolineare anche che la legge nazionale in materia di
protezione dei dati pu non applicarsi a missioni all'estero o a organizzazioni
internazionali presenti sul territorio dell'UE nella misura in cui queste
godono di uno statuto speciale a norma del diritto internazionale, in generale
o in virt di un accordo sulla sede centrale: tale esenzione impedirebbe
l'applicazione dell'articolo 4, paragrafo 1, lettera a) alla missione o
organizzazione internazionale. Esempio
n. 6: ambasciate straniere L'ambasciata
di uno Stato membro dell'UE in Canada soggetta alla legge nazionale sulla
protezione dei dati dello Stato membro interessato e non a quella canadese. L'ambasciata
di qualsiasi paese nei Paesi Bassi non soggetta alla legge olandese sulla protezione
dei dati perch ogni ambasciata ha uno statuto speciale a norma del diritto internazionale.
Una violazione della sicurezza dei dati nel contesto delle attivit di quell'ambasciata
non determinerebbe pertanto l'applicazione della legge olandese sulla protezione
dei dati e delle conseguenti misure attuative. Un'organizzazione
non governativa con uffici negli Stati membri dell'UE non beneficerebbe, in
linea di principio, di un'esenzione simile, a meno che non sia espressamente
prevista da un accordo internazionale con il paese ospitante. III.3.
Responsabile del trattamento non stabilito nel territorio comunitario, ma che
tratta dati ricorrendo a strumenti situati in uno Stato membro (articolo 4,
paragrafo 1, lettera c) L'articolo
4, paragrafo 1, lettera c), mira a garantire il diritto alla protezione dei
dati personali previsto dalla direttiva anche quando il responsabile del
trattamento non stabilito nel territorio dell'UE/del SEE, ma il trattamento
dei dati personali ha un chiaro collegamento con detto territorio, come
indicato nel considerando 2022. L'articolo
4, paragrafo 1, lettera c), stabilisce l'applicabilit della legislazione di
uno Stato membro quando "il () responsabile, non stabilito nel
territorio della Comunit, ricorre, ai fini del trattamento di dati personali,
a strumenti, automatizzati o non automatizzati, situati nel territorio di detto
Stato membro, a meno che questi non siano utilizzati ai soli fini di transito
nel territorio della Comunit europea". Questa
disposizione rilevante soprattutto alla luce dello sviluppo di nuove
tecnologie e in particolare di Internet, che facilitano la raccolta e il
trattamento di dati personali a distanza e indipendentemente dalla presenza
fisica del responsabile del trattamento nel territorio dell'UE/del SEE23. a)
"() responsabile non stabilito nel territorio della Comunit ()" Questa
disposizione diventa rilevante quando il responsabile del trattamento non ha
una presenza nel territorio dell'UE/del SEE che possa essere considerata come
stabilimento ai fini dell'articolo 4, paragrafo 1, lettera a) della direttiva,
come analizzato sopra. importante chiarire l'interpretazione dellespressione
"non stabilito". Deve essere chiaro che l'articolo 4, paragrafo 1,
lettera c) si applica solo quando non applicabile l'articolo 4, paragrafo 1,
lettera a), ossia quando il responsabile del trattamento non ha nessuno
stabilimento che sia rilevante per le attivit in questione nell'UE/nel
SEE. Pertanto, il fatto che un responsabile del trattamento stabilito al di
fuori dell'UE/del SEE ricorra a strumenti situati nello Stato membro A in cui
non ha uno stabilimento non farebbe scattare l'applicabilit del diritto di
quello Stato membro, se il responsabile del trattamento ha gi uno stabilimento
nello Stato membro B e tratta i dati personali nel contesto delle attivit di detto
stabilimento. Sia il trattamento effettuato nello Stato membro A (dove sono
usati gli strumenti), sia quello effettuato nello Stato membro B (dove si trova
lo stabilimento) saranno soggetti alla legge dello Stato membro B. Questo aspetto
stato chiarito dal Gruppo di lavoro nel suo parere sugli aspetti della
protezione dei dati connessi ai motori di ricerca24. D'altro
canto, l'articolo 4, paragrafo 1, lettera c) si applicher quando il
responsabile del trattamento ha uno stabilimento "irrilevante" nell'UE,
vale a dire quando il responsabile del trattamento ha stabilimenti nell'UE, ma
le sue attivit sono senza rapporto con il trattamento di dati personali. Questi
stabilimenti non farebbero scattare l'applicazione dell'articolo 4, paragrafo
1, lettera a). Ci
significa che, poich non dovrebbero esistere lacune o incoerenze
nell'applicazione delle disposizioni della direttiva, l'applicazione del
criterio degli "strumenti" non deve essere impedita dalla presenza di
uno stabilimento irrilevante; potrebbe essere impedita dall'esistenza di uno
stabilimento solo nella misura in cui detto stabilimento tratti dati personali
nel contesto delle medesime attivit. Un
corollario di questa interpretazione che una societ con diverse attivit
potrebbe fare scattare l'applicazione sia della lettera a) che della lettera c)
dell'articolo 4, paragrafo 1, se ricorresse a strumenti e avesse stabilimenti
in diversi contesti. In altre parole, un responsabile del trattamento stabilito
al di fuori dell'UE/del SEE e che usa strumenti nell'UE dovrebbe soddisfare
l'articolo 4, paragrafo 1, lettera c) anche se avesse uno stabilimento nell'UE,
nella misura in cui detto stabilimento tratti dati personali nel contesto di
altre attivit. Questo stabilimento farebbe scattare l'applicazione
dell'articolo 4, paragrafo 1, lettera a) per queste attivit specifiche. Un'opportunit
di chiarire meglio il campo di applicazione dell'articolo 4, paragrafo 1, lettera
c) e di spiegare cosa si intende per "responsabile non stabilito nel
territorio della Comunit" pu essere offerta dalla revisione del quadro
giuridico sulla protezione dei dati, conformemente allo spirito della direttiva
e alla formulazione del considerando 20. Il
preambolo della direttiva indica chiaramente che l'obiettivo proteggere le
persone ed evitare lacune nell'applicazione dei principi. Per questo motivo, il
Gruppo di lavoro ritiene che l'articolo 4, paragrafo 1, lettera c), dovrebbe
applicarsi nei casi in cui non vi sia uno stabilimento nell'UE/nel SEE che
farebbe scattare l'applicazione dell'articolo 4, paragrafo 1, lettera a), o
nei casi in cui il trattamento non effettuato nel contesto delle attivit
di detto stabilimento. b)
"() ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati
o non automatizzati, situati nel territorio di detto Stato membro ()" L'elemento
cruciale che determina l'applicabilit di questo articolo e quindi della legislazione
di uno Stato membro in materia di protezione dei dati l'uso di strumenti situati
nel territorio dello Stato membro. Il
Gruppo di lavoro ha gi chiarito che la nozione di "ricorrere"
presuppone due elementi: una qualche forma di attivit del responsabile del
trattamento e la chiara intenzione dello stesso di trattare dati personali25. Pertanto, mentre non sempre il ricorso a
strumenti nell'UE/nel SEE porta all'applicazione della direttiva, non
necessario che il responsabile del trattamento abbia la propriet e la piena
disposizione di tali strumenti per il trattamento per rientrare nel campo di
applicazione della direttiva. Va
osservato che vi una differenza fra il termine adoperato nella versione
inglese dell'articolo 4, paragrafo 1, lettera c) "equipment"
(strumenti), e i termini adoperati nelle altre versioni linguistiche della
medesima disposizione, che sono pi simili alla parola inglese "means"
(mezzi). La terminologia usata nelle altre versioni linguistiche dell'articolo
4, paragrafo 1, lettera c) coerente anche con la formulazione dell'articolo
2, lettera d), che definisce il responsabile del trattamento come la persona
che determina le finalit e gli strumenti del trattamento di dati personali. Alla
luce di queste considerazioni, il Gruppo di lavoro ritiene che il termine
"equipment" equivalga a "means" (strumenti)26. Osserva inoltre che, secondo la direttiva,
questi potrebbero essere "automatizzati o non automatizzati". Ne
deriva un'interpretazione estensiva del criterio, che quindi include
intermediari umani e/o tecnici, ad esempio nelle indagini o inchieste. Di
conseguenza, esso si applica alla raccolta di informazioni mediante
questionari, come accade, ad esempio, per alcune sperimentazioni farmaceutiche. Sorge
la questione se l'outsourcing di attivit, in particolare da parte di
incaricati del trattamento, svolte nel territorio dell'UE/del SEE per conto di
responsabili del trattamento stabiliti al di fuori del SEE possa essere
considerato alla stregua di "strumenti". L'interpretazione
estensiva summenzionata porta a rispondere in senso positivo, purch non si
agisca nel contesto delle attivit di uno stabilimento del responsabile del trattamento
nel SEE – nel qual caso si applicherebbe l'articolo 4, paragrafo 1,
lettera a). Tuttavia, si dovrebbe tenere conto delle conseguenze, talvolta non
auspicabili, di tale interpretazione, come esaminato sotto nel paragrafo III.4:
se responsabili del trattamento stabiliti in diversi paesi del mondo fanno
trattare i loro dati in uno Stato membro dell'UE, dove sono situati la banca
dati e l'incaricato del trattamento, quei responsabili del trattamento dovranno
ottemperare alla legislazione in materia di protezione dei dati di quello Stato
membro.
necessaria una valutazione caso per caso del modo in cui gli strumenti sono effettivamente
usati ai fini della raccolta e del trattamento dei dati personali. Sulla base
di questo ragionamento, il Gruppo di lavoro ha riconosciuto la possibilit che
la raccolta di dati personali attraverso i computer di utenti, come nel caso di
cookie o banner Javascript, determini l'applicazione dell'articolo 4, paragrafo
1, lettera c) e quindi delle norme dellUnione sulla protezione dei dati ai
fornitori di servizi stabiliti in paesi terzi27. Questa
interpretazione della disposizione relativa al "ricorso a strumenti"
fa propendere per un vasto campo di applicazione. Tuttavia, come detto sopra,
evidenzia anche alcune conseguenze non auspicabili, in quanto implica
lapplicabilit del diritto dellUE sulla protezione dei dati anche in casi in
cui il collegamento con l'UE limitato (ad esempio un responsabile del
trattamento stabilito al di fuori dell'UE che tratta dati di cittadini di paesi
terzi residennti nellUE usando solo strumenti nell'UE). Esiste un'ovvia
esigenza di maggiore chiarezza e di ulteriori condizioni per l'applicazione di
questo criterio, al fine di garantire una maggiore certezza nel futuro quadro
giuridico sulla protezione dei dati. Questo
punto sar sviluppato nella parte conclusiva del presente documento. Per fare
un altro esempio, non semplice stabilire in che misura i terminali per telecomunicazioni
o parti di essi dovrebbero essere considerati come strumenti. Il fatto che
lapparecchio sia progettato o usato principalmente per raccogliere o trattare ulteriormente
dati personali pu essere considerato come un indicatore al riguardo. Tuttavia,
anche il fatto che un responsabile del trattamento raccolga intenzionalmente dati
personali, pur in via incidentale, usando alcuni strumenti nell'UE, fa scattare
l'applicazione della direttiva. Esempio
n. 7: servizi di localizzazione geografica Una
societ ubicata in Nuova Zelanda usa automobili in tutto il mondo, anche negli
Stati membri dell'UE, per raccogliere informazioni sui punti d'accesso Wi-Fi
(comprese informazioni sui terminali privati delle persone fisiche) al fine di
fornire un servizio di localizzazione geografica ai propri clienti. Tale
attivit comporta, in molti casi, il trattamento di dati personali. L'applicazione
della direttiva sulla protezione dei dati sarebbe determinata in due modi: -
in primo luogo, le automobili che raccolgono informazioni Wi-Fi mentre circolano
per le strade possono essere considerate strumenti ai sensi dell'articolo 4,
paragrafo 1, lettera c); -
in secondo luogo, per fornire il servizio di localizzazione geografica il
responsabile del trattamento user anche il dispositivo mobile della persona
fisica (attraverso un software dedicato installato nel dispositivo) come
strumento per fornire informazioni reali sull'ubicazione del dispositivo e del
suo utente. Sia
la raccolta di informazioni al fine di fornire il servizio, sia la fornitura del
servizio di localizzazione geografica in s dovranno ottemperare alle
disposizioni della direttiva. Esempio
n. 8: cloud computing Il
cloud computing, quando i dati personali sono trattati e conservati su server
sparsi per il mondo, un esempio complesso dell'applicazione delle
disposizioni della direttiva. Il luogo esatto in cui i dati sono ubicati non
sempre noto e pu cambiare nel tempo, ma non decisivo per individuare la
legge applicabile. sufficiente che il responsabile del trattamento effettui
il trattamento nel contesto di uno stabilimento nell'UE o che i mezzi rilevanti
siano situati sul territorio dell'UE per fare scattare l'applicazione del
diritto dellUE, come previsto all'articolo 4, paragrafo 1, lettera c) della
direttiva. Il
primo passo decisivo sar individuare chi il responsabile del trattamento e
quali attivit si svolgono a quale livello. Si possono distinguere due
prospettive: L'utente
del servizio di cloud computing un responsabile del trattamento: ad esempio, una
societ usa un servizio di agenda on-line per organizzare riunioni con i
clienti. Se la societ usa il servizio nel contesto delle attivit del suo
stabilimento nell'UE, il diritto dell'UE sar applicabile a questo trattamento
di dati per mezzo dell'agenda online sulla base dell'articolo 4, paragrafo 1,
lettera a). La societ dovrebbe far s che il servizio offra adeguate
salvaguardie per la protezione dei dati, in particolare per quanto riguarda la
sicurezza dei dati personali conservati in luoghi remoti. Dovr anche informare
i propri clienti dello scopo e delle condizioni d'uso dei loro dati. Il
fornitore del servizio di cloud computing in alcune circostanze pu anche
essere un responsabile del trattamento: ad esempio nel caso in cui fornisce
un'agenda on-line in cui i privati possono caricare tutti i loro appuntamenti
personali e offre servizi a valore aggiunto come la sincronizzazione degli
appuntamenti e dei contatti. Se il fornitore del servizio di cloud computing
usa mezzi situati nel territorio dell'UE, sar soggetto al diritto dell'UE
sulla protezione dei dati in virt dell'articolo 4, paragrafo 1, lettera c). Come
dimostrato sotto, l'applicazione della direttiva non sarebbe determinata dai
mezzi usati a soli fini di transito, ma da strumenti pi specifici, ad esempio
se il servizio utilizza strutture di calcolo, gestisce java scripts o installa
cookie al fine di memorizzare e recuperare dati personali di utenti. Il
fornitore del servizio di cloud computing dovr in tal caso fornire agli utenti
le informazioni sul modo in cui i dati sono trattati, conservati, eventualmente
visionati da terzi, e garantire misure di sicurezza idonee a proteggere le
informazioni. Esempio
n. 9: un responsabile del trattamento pubblica un elenco di pedofili paese per paese Un
responsabile del trattamento stabilito in uno Stato membro dell'UE/del SEE pubblica
elenchi di sospetti o pregiudicati per reati contro i minori, paese per paese.
Per quanto riguarda il diritto alla protezione dei dati personali dei soggetti
che figurano negli elenchi, la legge applicabile – in base alla quale
dovrebbe essere valutata la legittimit di questo trattamento – la
legge nazionale sulla protezione dei dati dello Stato membro in cui stabilito
il responsabile del trattamento.
irrilevante, ai fini della determinazione della legge sulla protezione dei dati
applicabile, se nel trattare i dati a questo fine il responsabile del
trattamento usi strumenti in altri Stati membri (come server Internet con
diversi nomi di dominio toplevel, fra cui .fr, .it, .pl, ecc.), o se si rivolga
direttamente ai cittadini di altri paesi dell'UE (ad esempio pubblicando
elenchi specifici per paese di nomi nella lingua di quei paesi). L'autorit
di controllo dello Stato membro dello stabilimento pu in ogni caso essere invitata
da altre autorit di controllo a collaborare, agendo su denunce presentate da persone
che si trovano in altri Stati membri. Ovviamente,
criteri di collegamento diversi, e quindi leggi diverse, potrebbero trovare applicazione
in altri campi giuridici, ad esempio per promuovere un'azione legale per diffamazione
a norma del diritto penale o civile. c) "() a meno che questi non siano
utilizzati ai soli fini di transito nel territorio della Comunit europea
()" L'applicazione
della legge nazionale di uno Stato membro dell'UE esclusa quando gli strumenti
usati dal responsabile del trattamento e situati nello Stato membro sono impiegati
solo per il transito sul territorio dell'Unione, come ad esempio nel caso di
reti di telecomunicazione (cavi) o servizi postali che garantiscono solo che le
comunicazioni transitino nell'Unione al fine di raggiungere paesi terzi. Poich
questa un'eccezione al criterio degli strumenti, dovrebbe essere soggetta a un'interpretazione
restrittiva. Occorre osservare che l'effettiva applicazione di questa eccezione
sta diventando sempre meno frequente: nella pratica, un numero sempre maggiore
di servizi di telecomunicazione abbinano servizi di mero transito a servizi a valore
aggiunto, fra cui ad esempio il filtro degli spam o altre manipolazioni di dati
in occasione della trasmissione. La semplice trasmissione via cavo "punto
a punto" sta gradualmente scomparendo. Questo dovrebbe essere tenuto a
mente in sede di riflessione sulla revisione del quadro giuridico sulla
protezione dei dati. d) "() deve designare un rappresentante stabilito
nel territorio di detto Stato membro ()" (articolo 4, paragrafo 2) La
direttiva impone al responsabile del trattamento l'obbligo di designare
"un rappresentante" nel territorio dello Stato membro la cui legge
applicabile in virt del ricorso da parte del responsabile del trattamento a
strumenti situati in quello Stato membro per trattare dati personali. Ci vale
"fatte salve le azioni che potrebbero essere promosse contro lo stesso
responsabile del trattamento". In
quest'ultimo caso, la questione dell'applicabilit nei confronti di un
rappresentante solleva aspetti pratici, come dimostrato dall'esperienza degli
Stati membri. Questo sarebbe il caso se, ad esempio, l'unico rappresentante del
responsabile del trattamento nell'UE uno studio legale. Nelle disposizioni
nazionali di attuazione non vi una risposta uniforme alla questione se il
rappresentante possa essere considerato responsabile e sanzionato, su base
civile o penale, per conto del responsabile del trattamento. La natura del
rapporto fra il rappresentante e il responsabile del trattamento decisiva in
questa sede. In alcuni Stati membri, il rappresentante sostituisce il responsabile
del trattamento, anche in relazione all'applicazione e alle sanzioni, mentre in
altri ha un semplice mandato. Alcune leggi nazionali prevedono esplicitamente
sanzioni applicabili ai rappresentanti28,
mentre in altri Stati membri questa possibilit non prevista29. A
questo proposito, occorre un'armonizzazione a livello europeo con l'obiettivo
di dare maggiore efficacia al ruolo del rappresentante. In particolare, gli
interessati dovrebbero poter esercitare i loro diritti contro il
rappresentante, fatte salve le azioni legali che potrebbero essere promosse
contro lo stesso responsabile del trattamento. III.4.
Considerazioni sulle conseguenze pratiche dell'applicazione dell'articolo 4, paragrafo
1, lettera c) Un
aspetto decisivo dell'applicazione dell'articolo 4, paragrafo 1, lettera c)
riguarda le conseguenze pratiche per il responsabile del trattamento. Anche se
ubicato al di fuori dell'UE/del SEE, dovr applicare i principi della direttiva
se ricorre a strumenti situati nel territorio dell'E per operazioni di
trattamento di dati personali. Si potrebbe discutere se i principi siano
applicabili solo alla parte del trattamento che ha luogo nell'UE, o al responsabile
del trattamento in quanto tale per tutte le fasi del trattamento, anche quelle che
hanno luogo in un paese terzo. Tali questioni rivestono un'importanza particolare
in ambienti di rete come il cloud computing o nel contesto di societ
multinazionali. Consideriamo,
ad esempio, le implicazioni per i responsabili del trattamento stabiliti in diversi
paesi del mondo, che fanno trattare i loro dati in Francia, dove sono situati
la banca dati e gli strumenti per il trattamento. Se i diversi responsabili del
trattamento ricorrono a infrastrutture in Francia, trova applicazione
l'articolo 4, paragrafo 1, lettera c) e tutti i responsabili del trattamento
dovrebbero rispettare la legislazione francese. Questo pu avere conseguenze
non auspicabili in termini di impatto economico e di applicabilit. Motivi
pratici spingerebbero a una mitigazione dell'applicazione dei criteri "strumenti/mezzi",
ma questo controbilanciato dal fatto che i principi di protezione dei dati
mirano alla tutela di un diritto fondamentale. Limitare i diritti degli
individui ad alcune parti del trattamento dei loro dati non sembra ammissibile.
N sarebbe accettabile ridurre la portata della protezione alle persone
residenti nell'UE, poich il diritto fondamentale alla protezione dei dati
personali goduto indipendentemente dalla cittadinanza o residenza. Di
conseguenza, il criterio dell'articolo 4, paragrafo 1, lettera c) comporta
l'applicabilit dei principi della direttiva al responsabile del trattamento in
quanto tale, per tutte le fasi del trattamento, anche quelle che hanno luogo in
un paese terzo. Si
dovrebbe appoggiare l'applicazione della direttiva a un responsabile del
trattamento per l'intero trattamento nella misura in cui il collegamento con
l'UE effettivo e non tenue (ad esempio dovuto all'uso quasi involontario,
piuttosto che intenzionale, di strumenti in uno Stato membro). Ad
integrazione dei criteri degli "strumenti/mezzi", un fattore di
collegamento pi specifico, che tenga conto delleventuale attivit mirata a
persone, potrebbe essere utile in termini di certezza del diritto, come
esaminato ulteriormente nelle conclusioni. Tale criterio non nuovo ed stato
usato in altri contesti nell'UE30 e nel diritto degli Stati Uniti in materia di protezione dei
minori on-line31.
Questo anche il caso di alcune leggi nazionali che recepiscono la direttiva
2000/31/CE sul commercio elettronico32,
che dichiara che i prestatori non stabiliti nel SEE rientrano nel campo di
applicazione di queste leggi nazionali quando offrono servizi specificamente
mirati per il loro territorio. L'applicazione di un criterio simile per la
legislazione in materia di protezione dei dati nell'UE potrebbe essere oggetto
di riflessione durante le future discussioni sulla revisione del quadro
giuridico sulla protezione dei dati. Un'altra
conseguenza pratica dell'applicazione dell'articolo 4, paragrafo 1, lettera c) riguarda
l'interazione fra questa disposizione e gli articoli 25 e 26 della direttiva.
Il fatto che il responsabile del trattamento stabilito al di fuori dell'UE/del
SEE ricorra a strumenti nel territorio dell'UE/del SEE – con lobbligo
quindi di ottemperare a tutte le disposizioni pertinenti della direttiva
– comporterebbe eventualmente anche applicazione degli articoli 25 e 26.
Tuttavia, nella pratica pu essere difficile definire esattamente le
implicazioni di siffatto scenario. Ad
esempio, se un responsabile del trattamento X stabilito al di fuori del SEE raccoglie
dati personali ricorrendo a strumenti situati nel territorio dell'UE (ad
esempio con l'uso di cookie o attraverso un incaricato del trattamento), deve
ottemperare alla direttiva per tutte le fasi del trattamento. Vi un certo
parallelismo con la situazione in cui un responsabile del trattamento stabilito
nel SEE trasferisce dati personali a un incaricato del trattamento al di fuori
del SEE: anche in questo caso, il responsabile del trattamento e l'incaricato
del trattamento stabilito al di fuori del SEE saranno vincolati all'osservanza
della direttiva. Tuttavia, le modalit di attuazione pratica di questi
principi, conformemente ai requisiti di adeguatezza degli articoli 25 e 26
della direttiva, in uno scenario ai sensi dellarticolo 4, paragrafo 1, lettera
c) che coinvolga un responsabile del trattamento stabilito al di fuori del SEE,
non sono del tutto chiare. Il Gruppo di lavoro ritiene che gli strumenti
esistenti che regolano le condizioni per i trasferimenti dovrebbero essere
oggetto di ulteriore riflessione per affrontare meglio la situazione. III.5.
Diritto applicabile alle misure di sicurezza (articolo 17, paragrafo 3) L'articolo
17, paragrafo 3, stabilisce che un contratto o un atto giuridico che vincoli l'incaricato
del trattamento al responsabile del trattamento deve garantire anche il
rispetto degli obblighi di sicurezza "definiti dalla legislazione dello
Stato membro nel quale stabilito l'incaricato del trattamento". Il
motivo alla base di questo principio garantire l'esistenza di requisiti
uniformi in uno Stato membro per quanto riguarda le misure di sicurezza e
facilitarne l'applicazione. Va osservato, tuttavia, che in una prospettiva
europea, i requisiti di sicurezza divergono considerevolmente a seconda degli
Stati membri: alcuni prevedono norme molto dettagliate, mentre altri hanno solo
copiato la formulazione generale della direttiva. Laddove
le norme nazionali sono generali e la loro formulazione tratta dalla
direttiva, questo aspetto non avr conseguenze pratiche. Non sarebbe un
problema per un incaricato del trattamento ottemperare agli obblighi pi
dettagliati impostigli dal responsabile del trattamento in base alla sua legge
nazionale o, in alternativa, per responsabile del trattamento accettare
requisiti pi dettagliati definiti dalla legislazione dell'incaricato del
trattamento. Solo nel caso in cui norme dettagliate siano diverse o persino in
conflitto, l'articolo 17, paragrafo 3, decide a favore della legislazione dell'incaricato
del trattamento33.
Tuttavia, sembra consigliabile prevedere un'ulteriore armonizzazione degli
obblighi di sicurezza nella discussione sulla revisione del quadro giuridico
sulla protezione dei dati. III.6.
Competenza e collaborazione delle autorit di controllo (articolo 28, paragrafo
6) Come
detto sopra (cfr. paragrafo II.2.e), l'articolo 28, paragrafo 6, mira a colmare
il possibile divario fra la legge applicabile e le competenze di controllo nel
settore della protezione dei dati nel mercato interno. In
base a questa disposizione, ciascuna autorit nazionale di controllo
competente a controllare l'attuazione della legge sulla protezione dei dati nel
territorio dello Stato membro in cui stabilita. Tuttavia, se nel suo
territorio fosse applicabile la legge di un altro Stato membro, i poteri attuativi
dell'autorit per la protezione dei dati non sarebbero limitati: i criteri
della direttiva sulla legge applicabile prevedono la possibilit che l'autorit
per la protezione dei dati abbia il potere di controllare e di intervenire in un'operazione
di trattamento di dati che abbia luogo sul suo territorio, anche se la legge applicabile
quella di un altro Stato membro. III.6.a)
"() ciascuna autorit di controllo, indipendentemente dalla legge
nazionale applicabile al trattamento in questione, competente ()" In
base a questa disposizione un'autorit nazionale di controllo sempre
competente ad agire nei limiti della propria giurisdizione territoriale,
indipendentemente dal fatto che la legge applicabile sia la propria legge
nazionale sulla protezione dei dati o quella di un altro Stato membro. III.6.b)
"() per esercitare, nel territorio del suo Stato membro ()" Inoltre,
quando applicabile la legge sulla protezione dei dati di un altro Stato
membro, l'autorit di controllo potr esercitare a pieno titolo sul suo
territorio tutti i poteri attribuitile dal proprio ordinamento giuridico
nazionale, compresi poteri investigativi, poteri di intervento, potere di
promuovere azioni giudiziarie, potere di imporre sanzioni. Laddove
sono coinvolte pi autorit per la protezione dei dati, compresa quella del
luogo e quelle le cui leggi sono applicabili, essenziale organizzare una
cooperazione e che il ruolo di ciascuna autorit per la protezione dei dati sia
chiaro. Dovrebbero quindi essere affrontate varie questioni, fra cui in
particolare: -
questioni procedurali, come l'individuazione dell'autorit principale e le
modalit di cooperazione con le altre autorit per la protezione dei dati; -
la portata delle competenze di ciascuna autorit per la protezione dei dati. In
particolare, in che misura l'autorit per la protezione dei dati del luogo
esercita i suoi poteri in relazione all'applicazione dei principi materiali e
delle sanzioni? Dovrebbe limitare l'uso dei suoi poteri alla verifica dei
fatti, pu adottare misure provvisorie di applicazione o persino misure
definitive? Pu dare la propria interpretazione delle disposizioni della legge
applicabile, o prerogativa dell'autorit per la protezione dei dati dello
Stato membro la cui legge applicabile? Va osservato a questo proposito che
non tutte le leggi nazionali prevedono la possibilit di imporre sanzioni a
tutte le parti interessate34. Un
elevato livello di armonizzazione dei poteri di controllo conferiti alle
autorit di controllo a norma dell'articolo 28 della direttiva una condizione
essenziale per garantire che si provveda in modo efficace e non discriminatorio
a far rispettare a livello transfrontaliero la protezione dei dati. La
questione merita ulteriore analisi, e il Gruppo di lavoro fornir orientamenti
a questo riguardo in un documento separato. Esempio
n. 10: trattamento transfrontaliero intra-UE di dati personali Le
attivit di trattamento sono effettuate nel Regno Unito, ma nel contesto delle
attivit di uno stabilimento del responsabile del trattamento situato in
Germania. Tale situazione avr le conseguenze seguenti: -
la legge tedesca sar applicabile al trattamento nel Regno Unito; -
l'autorit per la protezione dei dati del Regno Unito deve avere il potere di ispezionare
i locali nel Regno Unito e di fare accertamenti, che dovranno essere trasmessi
all'autorit per la protezione dei dati tedesca; -
l'autorit per la protezione dei dati tedesca dovrebbe potere imporre una
sanzione al responsabile del trattamento stabilito in Germania sulla base degli
accertamenti dell'autorit per la protezione dei dati del Regno Unito. Come
elemento addizionale, se lo stabilimento nel Regno Unito un incaricato del trattamento,
gli aspetti di sicurezza del trattamento sono soggetti ai requisiti della legge
sulla protezione dei dati del Regno Unito. Sorge quindi la questione di
unapplicazione adeguata dei requisiti di quella legge. III.6.c)
"() collaborano tra loro nella misura necessaria allo svolgimento dei
propri compiti ()" Le
autorit di controllo hanno l'obbligo di collaborare ("collaborano"),
ma nel contempo tale obbligo limitato alla misura necessaria allo svolgimento
dei loro compiti. Pertanto, le richieste di collaborazione dovrebbero
riguardare l'esercizio delle loro competenze e riguardare di solito casi con
rilevanza transfrontaliera. La
disposizione si riferisce, in particolare, allo scambio di "ogni
informazione utile" che potrebbe riguardare ad esempio informazioni sulle
disposizioni pertinenti e sugli strumenti giuridici applicabili al caso
specifico. Tuttavia, la collaborazione dovrebbe svolgersi a diversi livelli:
trattazione di denunce transfrontaliere, raccolta di prove per altre autorit
per la protezione dei dati, o imposizione di sanzioni. La
questione ancora pi delicata in un contesto internazionale, dove i
responsabili del trattamento operano a livello globale, e necessita di
miglioramenti in termini di cooperazione ai fini dell'applicazione. Iniziative
come la "Global Privacy Enforcement Network (GPEN)", che coinvolgono
le autorit per la protezione dei dati di vari continenti, sono un'azione
necessaria e ben accetta in questa prospettiva. Esempio
n. 11: social network con sede centrale in un paese terzo e uno stabilimento nell'UE Una
piattaforma di social network ha la sede centrale in un paese terzo e uno stabilimento
in uno Stato membro. Lo stabilimento definisce e attua le politiche relative al
trattamento dei dati personali delle persone residenti dell'UE. La rete di social
network si rivolge attivamente ai residenti di tutti gli Stati membri dell'UE
che costituiscono un'importante quota di clienti e introiti. Installa anche
cookie sui computer degli utenti dell'UE. In
questo caso, la legge applicabile sar, a norma dell'articolo 4, paragrafo 1,
lettera a), la legge sulla protezione dei dati dello Stato membro dell'UE in
cui stabilita l'azienda. La
questione se la rete di social network ricorre a strumenti situati nel
territorio di altri Stati membri irrilevante, dato che l'intero trattamento
effettuato nel contesto delle attivit dell'unico stabilimento e la direttiva
esclude l'applicazione cumulativa della lettera a) e della lettera c)
dell'articolo 4, paragrafo 1. Tuttavia,
l'autorit di controllo dello Stato membro in cui stabilita la rete di social
network nell'UE – a norma dell'articolo 28, paragrafo 6 – avr
l'obbligo di collaborare con altre autorit di controllo per trattare, ad
esempio, richieste o denunce provenienti dai residenti di altri paesi dell'UE. Esempio
n. 12: piattaforma europea di assistenza sanitaria on-line Viene
creata una piattaforma a livello europeo per facilitare il trattamento
transfrontaliero di dati clinici. La piattaforma consente lo scambio di serie
sintetiche di dati sui pazienti, di cartelle cliniche e di prescrizioni per
facilitare la prestazione di servizi sanitari in caso di viaggi all'estero. Poich
la piattaforma facilita lo scambio di informazioni, in ciascuno Stato membro ci
saranno ancora uno o pi stabilimenti nel contesto delle cui attivit sono
trattati i dati dei pazienti. Ad esempio, se una persona residente in Bulgaria
si reca in Portogallo e ha bisogno di una terapia urgente, la sua cartella sar
trattata attraverso la piattaforma dai servizi sanitari portoghesi a norma
della legge portoghese sulla protezione dei dati. Se il paziente desidera
chiedere un risarcimento una volta tornato in Bulgaria in relazione al trattamento
dei suoi dati da parte del responsabile del trattamento portoghese, presenterebbe
dapprima la sua richiesta all'autorit per la protezione dei dati bulgara, la quale
collaborer quindi con l'autorit per la protezione dei dati portoghese per
accertare i fatti e verificare se vi sia stata violazione a norma della legge
portoghese. Se
la Commissione europea interviene nel funzionamento della piattaforma
organizzando flussi di dati personali e garantendo la sicurezza del sistema, si
potrebbe anche ritenere che stia procedendo al trattamento di dati personali,
il che comporterebbe l'applicazione del regolamento (CE) n. 45/2001. In questo
esempio, se il cittadino bulgaro denunciasse una violazione della sicurezza
relativa ai suoi dati medici, l'autorit per la protezione dei dati bulgara
collaborerebbe con il GEPD per individuare le condizioni e le conseguenze della
violazione. IV. Conclusioni Il
presente parere mira a chiarire il campo di applicazione della direttiva
95/46/CE, in particolare dellarticolo 4. Tuttavia, evidenzia anche alcuni
settori suscettibili di ulteriori miglioramenti. Di seguito sono riassunte le
principali conclusioni su questi due aspetti. IV.1.
Chiarire le disposizioni vigenti Determinare
l'applicabilit del diritto dell'UE al trattamento dei dati personali serve a chiarire
la portata delle norme dellUnione sulla tutela dei dati sia nell'UE/nel SEE
sia in un contesto internazionale pi ampio. Una chiara comprensione del
diritto applicabile contribuir a garantire non solo la certezza del diritto
per i responsabili del trattamento ma anche l'esistenza di un quadro normativo
preciso per le persone fisiche e le altre parti interessate. Inoltre, una
corretta comprensione delle disposizioni legislative applicabili dovrebbe
assicurare l'assenza di lacune o di elusioni nell'elevato livello di protezione
dei dati personali garantito dalla direttiva 95/46. La
disposizione chiave sul diritto applicabile l'articolo 4, che stabilisce
quali leggi nazionali sulla protezione dei dati adottate in attuazione della
direttiva si applicano al trattamento dei dati personali. A
norma dell'articolo 4, paragrafo 1, lettera a), uno Stato membro deve applicare
la propria legge nazionale sulla protezione dei dati quando il trattamento
effettuato nel contesto di uno stabilimento del responsabile del trattamento
situato nel territorio dello Stato membro. Per stabilire se uno stabilimento
rilevante ai fini dell'articolo 4, paragrafo 1, determinante sapere se
l'organizzazione in questione procede all'esercizio effettivo e reale di
attivit. Inoltre, il riferimento a "uno" stabilimento significa che
la presenza di uno stabilimento del responsabile del trattamento nel territorio
di uno Stato membro determina l'applicabilit della legge di quello Stato
membro, e che la presenza di altri stabilimenti di quel responsabile del
trattamento nel territorio di altri Stati membri determina l'applicabilit
delle leggi di tali Stati membri. La
nozione di "contesto delle attivit" – e non di ubicazione dei
dati – un fattore decisivo per determinare il campo di applicazione
della legge applicabile. La nozione di "contesto delle attivit"
implica che la legge applicabile non quella dello Stato membro in cui
stabilito il responsabile del trattamento, ma quella dello Stato membro
in cui uno stabilimento del responsabile del trattamento svolge attivit
correlate al trattamento di dati personali. In questo contesto, cruciale
il livello di partecipazione di ciascuno stabilimento alle attivit nel cui
contesto sono trattati i dati personali. Si dovrebbe tenere conto, inoltre,
della natura delle attivit degli stabilimenti e della necessit di garantire un'effettiva
protezione dei diritti delle persone. Nell'analisi di questi criteri dovrebbe essere
seguito un approccio funzionale: pi che lindicazione teorica della legge applicabile
effettuata dalle parti, dovrebbero essere decisivi il loro comportamento pratico
e la loro interazione. L'articolo
4, paragrafo 1, lettera b) affronta il caso meno comune in cui la legge sulla protezione
dei dati di uno Stato membro si applica laddove "il responsabile non stabilito
nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione
nazionale, a norma del diritto internazionale pubblico". I criteri esterni
discendenti dal diritto internazionale pubblico determineranno, in situazioni
specifiche, l'estensione dell'applicazione del diritto nazionale sulla
protezione dei dati al di fuori dei confini nazionali, come ad esempio nel caso
di ambasciate o navi. L'articolo
4, paragrafo 1, lettera c) mira a garantire il diritto alla protezione dei dati
personali previsto dalla direttiva anche quando il responsabile del trattamento
non stabilito nel territorio dell'UE/del SEE, ma il trattamento collegato
in qualche modo con l'UE/il SEE. Per garantire la coerenza nell'ambito
dell'articolo 4 ed evitare lacune nell'applicazione del diritto sulla
protezione dei dati, il Gruppo di lavoro ritiene che l'applicazione
dell'articolo 4, paragrafo 1, lettera c) non dovrebbe essere impedita dalla presenza
di uno stabilimento del responsabile del trattamento nel territorio dellUE quando
non si tratta di uno stabilimento rilevante ai fini dell'articolo 4, paragrafo
1, lettera a). Al contrario, la disposizione relativa al "ricorso a
strumenti" di cui all'articolo 4, paragrafo 1, lettera c) dovrebbe
applicarsi nei casi in cui non vi uno stabilimento nell'UE/nel SEE che
farebbe scattare l'applicazione dell'articolo 4, paragrafo 1, lettera a) o
nei casi in cui il trattamento non effettuato nel contesto delle
attivit di detto stabilimento. L'elemento
cruciale che determina l'applicabilit dell'articolo 4, paragrafo 1, lettera c)
e quindi della legge sulla protezione dei dati di uno Stato membro l'uso di
strumenti situati nel territorio di quello Stato membro. La nozione di
"ricorrere" presuppone due elementi: una qualche forma di attivit
esercitata dal responsabile del trattamento e la chiara intenzione dello stesso
di trattare dati personali. Pertanto, mentre non sempre il ricorso a strumenti
nell'UE/nel SEE porta all'applicazione della direttiva, non necessario che il
responsabile del trattamento abbia la propriet o la piena disposizione di tali
strumenti perch il trattamento rientri nel campo di applicazione della
direttiva. Per
quanto riguarda la nozione di equipment, il fatto che in altre lingue
dell'UE sia stata espressa con il termine means porterebbe ad
interpretare in maniera estensiva i criteri, a favore di un vasto campo di
applicazione. In alcuni casi tale interpretazione pu comportare
l'applicabilit del diritto dellUE sulla protezione dei dati a un trattamento che
non presenta un collegamento reale con l'UE/il SEE. In ogni caso, il
trattamento di dati personali da parte di un responsabile del trattamento
stabilito al di fuori dell'UE/del SEE, attraverso strumenti nell'UE/nel SEE,
implica l'applicazione della direttiva a norma dell'articolo 4, paragrafo 1,
lettera c), il che significa che saranno applicabili anche tutte le altre
disposizioni pertinenti della direttiva. L'applicazione
della legge nazionale di uno Stato membro dell'UE esclusa quando gli strumenti
usati dal responsabile del trattamento e situati nello Stato membro sono impiegati
solo per il transito sul territorio dell'Unione, come ad esempio nel caso di
reti di telecomunicazione (cavi) o servizi postali che garantiscono solo che le
comunicazioni transitino nell'Unione al fine di raggiungere paesi terzi. L'articolo
4, paragrafo 2, impone al responsabile del trattamento l'obbligo di designare
un rappresentante nel territorio dello Stato membro la cui legge applicabile
in virt del ricorso da parte del responsabile del trattamento a strumenti
situati in quello Stato membro per trattare dati personali. In quest'ultimo
caso, l'applicabilit nei confronti del rappresentante pu essere problematica. L'articolo
17, paragrafo 3, stabilisce che un contratto o un atto giuridico che vincoli l'incaricato
del trattamento al responsabile del trattamento deve garantire anche il
rispetto da parte dell'incaricato del trattamento degli obblighi di sicurezza
"definiti dalla legislazione dello Stato membro nel quale stabilito
l'incaricato del trattamento". Il motivo alla base di questi principi
garantire l'esistenza di requisiti uniformi in uno Stato membro per quanto
riguarda le misure di sicurezza e facilitarne l'applicazione. L'articolo 28,
paragrafo 6, mira a colmare il possibile divario fra la legge applicabile e le competenze
di controllo nel settore della protezione dei dati nel mercato interno, disponendo
che ciascuna autorit per la protezione dei dati dovrebbe potere esercitare i propri
poteri per controllare ed intervenire in un'operazione di trattamento che abbia
luogo sul suo territorio, anche se la legge applicabile quella di un altro
Stato membro. IV.2.
Migliorare le disposizioni vigenti Nellelaborare
le indicazioni e gli esempi illustrati sopra, che dovrebbero contribuire a promuovere
la certezza giuridica e la protezione dei diritti delle persone in sede di determinazione
del diritto applicabile al trattamento di dati personali, sono state individuate
alcune lacune. Nell'ambito
della revisione del quadro giuridico generale sulla protezione dei dati sarebbe
utile chiarire la formulazione della direttiva e la coerenza fra le diverse
parti dell'articolo 4. Il Gruppo di lavoro ha individuato la necessit di
siffatti chiarimenti in diversi settori. a.
necessario risolvere le incoerenze nella formulazione usata nelle lettere a)
e c) dell'articolo 4, paragrafo 1, per quanto riguarda lo
"stabilimento", e la nozione del responsabile del trattamento
"non stabilito" nell'UE. Per essere coerente con l'articolo 4,
paragrafo 1, lettera a), che usa il criterio dello "stabilimento",
l'articolo 4, paragrafo 1, lettera c) dovrebbe applicarsi a tutti i casi in cui
non vi uno stabilimento nell'UE che farebbe scattare l'applicazione
dell'articolo 4, paragrafo 1, lettera a) o in cui il trattamento non
effettuato nel contesto delle attivit di detto stabilimento. b.
Sarebbero utili alcuni chiarimenti anche per quanto riguarda la nozione di
"contesto delle attivit" dello stabilimento. Il Gruppo di lavoro ha
sottolineato la necessit di valutare il livello di partecipazione di
ciascuno stabilimento in relazione alle attivit nel cui contesto sono trattati
i dati personali, ossia verificare "chi sta facendo cosa" in quale
stabilimento. Questo criterio interpretato tenendo conto dei lavori preparatori
della direttiva e dell'obiettivo fissato allepoca per mantenere un approccio
distributivo delle leggi nazionali applicabili ai diversi stabilimenti del responsabile
del trattamento nell'UE. Il Gruppo di lavoro ritiene che l'articolo 4, paragrafo
1, lettera a) nella sua attuale formulazione consenta una soluzione realizzabile,
ma talvolta complessa, che sembra andare a favore di un approccio pi centralizzato
e armonizzato. c.
Il cambiamento previsto per semplificare le norme che determinano il diritto applicabile
consisterebbe in un ritorno al principio del paese di origine: tutti gli stabilimenti
di un responsabile del trattamento nell'UE applicherebbero in tal caso la stessa
legge, indipendentemente dal territorio in cui sono ubicati. In questa prospettiva,
l'ubicazione dello stabilimento principale del responsabile del trattamento
sarebbe il primo criterio da applicare. Il fatto che esistano diversi stabilimenti
nell'UE non determinerebbe un'applicazione distribuita delle leggi nazionali. d.
Tuttavia, ci sarebbe accettabile solo se non vi sono differenze sostanziali
fra le leggi degli Stati membri. Un'applicazione efficace del principio del
paese di origine comporterebbe altrimenti una scelta opportunistica (forum
shopping) a favore degli Stati membri la cui legge considerata pi
permissiva nei confronti dei responsabili del trattamento. Questo ovviamente
potrebbe danneggiare gli interessati. La
certezza giuridica per i responsabili del trattamento e per gli interessati
sarebbe garantita solo se si raggiunge un'armonizzazione globale delle
legislazioni nazionali, compresa l'armonizzazione degli obblighi di sicurezza.
Il Gruppo di lavoro pertanto favorevole ad una forte armonizzazione dei
principi di protezione dei dati come condizione per un possibile spostamento
verso il principio del paese di origine. e.
Dovrebbero applicarsi ulteriori criteri quando il responsabile del trattamento
stabilito al di fuori dell'UE, al fine di garantire un collegamento
sufficiente con il territorio dell'UE ed evitare che il territorio dell'UE sia
usato per svolgere attivit illecite di trattamento dei dati da parte di
responsabili del trattamento stabiliti in paesi terzi. Possono essere
elaborati, a questo proposito, i due criteri che seguono: -
Lattivit mirata a persone, o "approccio orientato al servizio":
questo comporterebbe l'introduzione di un criterio che determina l'applicazione
del diritto dellUE sulla protezione dei dati quando l'attivit che implica il trattamento
di dati personali mirata a persone nell'UE. Dovrebbe trattarsi di un'ingente
attivit mirata, basata sull'effettivo collegamento fra la persona e uno
specifico paese dell'UE o che tenga conto di tale collegamento. Gli esempi che
seguono illustrano in cosa potrebbe consistere lattivit mirata: la raccolta
da parte di un responsabile del trattamento di dati personali nel contesto di
servizi esplicitamente accessibili o mirati a persone residenti nell'UE,
attraverso la presentazione di informazioni nelle lingue dell'UE; la fornitura
di servizi o prodotti nei paesi dell'UE; il fatto che l'accessibilit di un
servizio sia subordinata all'uso di una carta di credito dell'UE; l'invio di pubblicit
nella lingua dell'utente o per prodotti e servizi disponibili nell'UE. Il
Gruppo di lavoro osserva che questo criterio gi usato nel settore della tutela
dei consumatori: la sua applicazione nel contesto della protezione dei dati
favorirebbe una maggiore certezza giuridica per i responsabili del trattamento
perch dovrebbero applicare lo stesso criterio per attivit che spesso fanno
scattare l'applicazione sia delle norme di tutela dei consumatori sia di quelle
per la protezione dei dati. -
L'applicazione del criterio degli strumenti/mezzi: questo criterio ha mostrato di
avere conseguenze indesiderate, fra cui una possibile applicazione universale
del diritto dell'UE. Tuttavia, vi l'esigenza di evitare situazioni in cui un
divario giuridico consentirebbe di usare l'UE come rifugio di dati, ad esempio
quando un'attivit di trattamento pone questioni etiche inammissibili. Il
criterio degli strumenti/mezzi potrebbe quindi essere mantenuto, nella
prospettiva dei diritti fondamentali, e usato in forma residua. Si
applicherebbe allora soltanto come terza possibilit, laddove le altre due non
si applicano: affronterebbe casi limite (dati su interessati che non risiedono
nell'UE, responsabili del trattamento che non hanno collegamenti con l'UE)
laddove vi un'infrastruttura rilevante nell'UE, collegata al trattamento di
informazioni. In quest'ultimo caso, si potrebbe prevedere l'applicazione
soltanto di alcuni principi di protezione dei dati – come la legittimit
o le misure di sicurezza. Questo approccio, che ovviamente dovrebbe essere
oggetto di ulteriori sviluppi e miglioramenti, risolverebbe probabilmente la
maggior parte dei problemi relativi all'attuale articolo 4, paragrafo 1,
lettera c. f.
Come ultima raccomandazione, il Gruppo di lavoro chiede una maggiore armonizzazione
dell'obbligo dei responsabili del trattamento stabiliti in paesi terzi di designare
un rappresentante nell'UE, al fine di dare maggiore efficacia al ruolo del rappresentante.
In particolare, dovrebbe essere chiarita la misura in cui gli interessati dovrebbero
poter esercitare effettivamente i loro diritti nei confronti del rappresentante. Fatto
a Bruxelles, 16 dicembre 2010 Per
il Gruppo di lavoro, Il
Presidente Jacob
KOHNSTAMM ALLEGATO Articolo 4, paragrafo 1, lettera a) Articolo 4, paragrafo 1, lettera b) Il responsabile del trattamento stabilito in un luogo in cui applicabile
la legge nazionale dello Stato membro a norma del diritto internazionale pubblico?
( III.2) applicabile la legge nazionale dello
Stato membro. Iniziare con l'articolo 4, paragrafo 1, lettera a). S Passare all'articolo 4, paragrafo 1, lettera c). No S Il trattamento effettuato nel contesto delle attivit di detto
stabilimento (o di un altro stabilimento nel medesimo Stato membro)? (
III.1.b) applicabile la legge nazionale dello
Stato membro. Il trattamento effettuato nel contesto delle attivit di uno
stabilimento nel territorio di un altro Stato membro? (III.1.b) applicabile la legge nazionale
dell'altro Stato membro. S No S Il responsabile del trattamento ha uno o pi stabilimenti in uno o
pi Stati membri? ( III.1) No Passare all'articolo 4, paragrafo 1, lettera b). Passare
all'articolo 4, paragrafo 1, lettera b). No Articolo 4, paragrafo 1, lettera c) Il responsabile del trattamento ricorre a strumenti automatizzati
o non automatizzati situati in uno Stato membro? ( III.3.b) Iniziare con l'articolo 4, paragrafo 1, lettere a) e b) Questi strumenti sono utilizzati ai soli fini di transito? (
III.3.c) S La legge nazionale dello Stato membro
non applicabile. No La legge nazionale dello Stato membro
non applicabile. applicabile la legge nazionale dello
Stato membro. S No NOTE 1 La
direttiva 95/46/CE si applica anche ai paesi EFTA (Norvegia, Islanda e
Liechtenstein) nell'ambito dell'accordo SEE (cfr. decisione n. 83/1999 del
comitato misto SEE, del 25 giugno 1999, che modifica il protocollo n. 37 e
l'allegato XI (servizi di telecomunicazione) dell'accordo SEE - GU L 296/41 del
23.11.2000). 2 Prima
relazione sull'applicazione della direttiva sulla tutela dei dati (95/46/CE), maggio
2003, pag. 17, disponibile all'indirizzo http://ec.europa.eu/justice/policies/privacy/lawreport/report_en.htm 3 Comparative
study on different approaches to new privacy challenges, in particular in the
light of technological developments (Studio
comparativo dei diversi approcci alle nuove sfide della privacy, in particolare
alla luce degli sviluppi tecnologici), gennaio 2010, disponibile all'indirizzo http://ec.europa.eu/justice/policies/privacy/studies/index_en.htm. 4 COM
(2010) 609 definitivo del 4.11.2010. 5 Parere
4/2007 sul concetto di dati personali (WP 136); Parere 1/2010 sui concetti di
"responsabile del trattamento" e "incaricato del
trattamento" (WP 169). Tutti i pareri sono disponibili all'indirizzo: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm 6 In
particolare, documento di lavoro sulla determinazione dell'applicazione
internazionale della normativa comunitaria in materia di tutela dei dati al
trattamento dei dati personali su Internet da parte di siti Web non stabiliti
nell'UE (WP 56); parere 10/2006 sul trattamento dei dati personali da parte
della Societ per le telecomunicazioni finanziarie interbancarie mondiali
(SWIFT) (WP 128), e parere 1/2008 sugli aspetti della protezione dei dati
connessi ai motori di ricerca (WP 148). 7 Sebbene
la direttiva contenga disposizioni sulla responsabilit (articolo 23) e sulle
sanzioni (articolo 24), i principi generali del diritto civile e penale, in
teoria, rimangono impregiudicati, come indicato nel considerando 21 della
direttiva. Tali principi sarebbero disattesi solo nella misura del necessario
per prevedere sanzioni in caso di violazione dei principi di protezione dei
dati. Nella pratica, l'attuazione della direttiva a livello nazionale ha
portato a diversi scenari, compresa la previsione o meno di sanzioni penali.
Per citare un altro esempio, sebbene la direttiva contenga disposizioni sulla
necessit di ottenere il consenso – cfr. articolo 2, lettera h), articolo
7, lettera a) e articolo 8, paragrafo 2, lettera a) – o sulla rilevanza
degli obblighi contrattuali – cfr. articolo 7, lettera b) –, essa
non ha alcun rapporto con il diritto dei contratti (ad esempio condizioni per
la stipulazione di un contratto, diritto applicabile) o con altri aspetti del
diritto civile che esulano dal suo campo di applicazione. 8 COM
(1990) 314 - 2 del 18.7.1990, proposta di
direttiva del Parlamento europeo e del Consiglio concernente la protezione
delle persone relativamente al trattamento dei dati personali. 9 COM
(1992) 422 definitivo del 15.10.1992. 10 Cfr.
parere 1/2010 sui concetti di "responsabile del trattamento" e
"incaricato del trattamento" (WP 169). 11 Come
spiegato nel paragrafo III.2.b infra, la nozione di equipment (strumenti)
stata espressa in altre lingue dell'UE con means (mezzi). Ci depone a favore
di un'interpretazione estensiva della nozione di strumenti e spiega il motivo
per cui nel presente documento sono usate entrambe le nozioni. 12 Cfr.,
nello stesso senso, la direttiva 2000/31/CE relativa a taluni aspetti giuridici
dei servizi della societ dell'informazione, in particolare il commercio
elettronico, nel mercato interno. Un ulteriore fattore rilevante l'ubicazione
dell'incaricato del trattamento per quanto riguarda il diritto applicabile alle
misure di sicurezza (articolo 17). Tuttavia, questo criterio non decisivo in
s e deve essere applicato in relazione al criterio principale dello
stabilimento del responsabile del trattamento. 13 Decisione
quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei
dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia
in materia penale (GU L 350 del
30.12.2008, pag. 60). 14 Regolamento
(CE) n. 45/2001 concernente la tutela delle persone fisiche in relazione al
trattamento dei dati personali da parte delle istituzioni e degli organismi
comunitari, nonch la libera circolazione di tali dati (GU L 8 del 12.1.2001,
pag. 1). 15 Europol:
decisione del Consiglio 2009/371/GAI (GU L 121 del 15.5.2009, pag. 37);
Eurojust: decisione del Consiglio 2002/187/GAI (GU L 63 del 6.3.2002, pag. 1),
modificata dalla decisione del Consiglio 2009/426/GAI (GU L 138 del 4.6.2009,
pag. 14). 16 Tranne
per le misure di sicurezza, che dipenderanno dall'ubicazione di un eventuale
incaricato del trattamento, come previsto dall'articolo 17, paragrafo 3, della
direttiva. 17 Parere
1/2010 sui concetti di "responsabile del trattamento" e
"incaricato del trattamento" (WP 169). filiale dotata di personalit giuridica, non
il fattore determinante a questo riguardo" (considerando 19). 18 Sentenza
del 4 luglio 1985, Bergholz, (causa 168/84, Racc. 1985 pag. 2251, punto
14) e sentenza del 7 maggio 1998, Lease Plan Luxembourg / Stato belga (C-390/96,
Racc. 1998 pag. I-2553). 19 La
possibilit che vadano considerati in altro modo, ad esempio come
"strumenti", sar discussa pi avanti nel testo. 20 Cfr.,
ad esempio, il parere 1/2010 sui concetti di "responsabile del
trattamento" e "incaricato del trattamento" (WP 169). 21 Ai sensi
dell'articolo 17, paragrafo 3, della direttiva 95/46/CE, l'incaricato del
trattamento vincolato agli obblighi definiti dalla legge dello Stato membro
nel quale stabilito in relazione alle misure di sicurezza. In casi di
conflitto fra gli obblighi di sicurezza sostanziali definiti dalla legge
dell'incaricato del trattamento e la legge del responsabile del trattamento,
prevale la lex loci (legge dell'incaricato del trattamento). Pur
restando la responsabilit finale a carico del responsabile del trattamento,
l'incaricato del trattamento deve dimostrare di avere preso tutte le misure
necessarie previste dal suo contratto con il responsabile del trattamento e
adempiuto agli obblighi di sicurezza definiti dalla legge dello Stato membro in
cui stabilito (cfr. per maggiori dettagli il paragrafo III.5). 22 Considerando
20: "considerando che la tutela delle persone prevista dalla presente
direttiva non deve essere impedita dal fatto che il responsabile del
trattamento sia stabilito in un paese terzo; che, in tal caso, opportuno che
i trattamenti effettuati siano disciplinati dalla legge dello Stato membro nel
quale sono ubicati i mezzi utilizzati per il trattamento in oggetto e che siano
prese le garanzie necessarie per consentire l'effettivo rispetto dei diritti e
degli obblighi previsti dalla presente direttiva". 23 Cfr.
il documento del Gruppo di lavoro sulla determinazione dell'applicazione
internazionale della normativa comunitaria in materia di tutela dei dati al
trattamento dei dati personali su Internet da parte di siti Web non stabiliti
nell'UE (WP 56). 24 Parere
1/2008 del Gruppo di lavoro Aricolo 29 sugli aspetti della protezione dei dati
connessi ai motori di ricerca (WP 148). 25 WP 56,
op. cit. 26 Occorre
ricordare inoltre che anche il testo in lingua inglese della direttiva nelle
versioni precedenti (ad esempio nella proposta modificata del 1992 - COM (92)
422 definitivo) usava il termine "means", anche se questo
stato sostituito nel corso dei negoziati, in una fase abbastanza avanzata, con
il termine "equipment", come pu essere visto nel testo della
posizione comune del marzo 1995. 27 WP 56,
op. cit., pag. 10. 28 Legge
belga sulla protezione dei dati dell'8 dicembre 1992, GU del 18 marzo 1993;
legge olandese del 6 luglio 2000 relativa alla protezione dei dati personali,
Bollettino delle leggi, Ordinanze e decreti (Staatsblad) n. 302 del 20 luglio
2000. Cfr. anche la normativa greca (articolo 3, paragrafo 3.b in combinato
disposto con l'articolo 21, paragrafo 1, della legge 2472/1997). 29 La
legge francese 78/17 del 6 gennaio 1978, ad esempio, non prevede questo tipo di
sanzioni contro i rappresentanti. 30 Cfr.
articolo 15, paragrafo 1, lettera c), del regolamento (CE) n. 44/2001 del
Consiglio, del 22 dicembre 2000, concernente la competenza giurisdizionale, il
riconoscimento e l'esecuzione delle decisioni in materia civile e commerciale
(GU L 12 del 16.1.2001, pag. 1), e per questa interpretazione cfr. le
conclusioni dell'avvocato generale Trstenjak, 18 maggio 2010, nella causa C-
144/09, Hotel Alpenhof . 31 L'applicazione
della legge COPPA pu infatti essere determinata o dall'ubicazione di un
pubblicatore negli USA o dal fatto che i minori statunitensi siano l'obiettivo
del sito web; siti web esteri e servizi online devono soddisfare la COPPA se sono
diretti a o consapevolmente raccolgono o diffondono informazioni personali su
minori negli Stati Uniti. Cfr. 16 CFR 312.2, disponibile all'indirizzo http://www.ftc.gov/os/1999/10/64fr59888.pdf, pag. 59912. 32 Direttiva
2000/31/CE del Parlamento europeo e del Consiglio dell'8 giugno 2000 relativa a
taluni aspetti giuridici dei servizi della societ dell'informazione, in
particolare il commercio elettronico, nel mercato interno (Direttiva sul
commercio elettronico) (GU L 178 del 17.7.2000, pag.1). 33 Questo
dovrebbe evitare che la nomina di un incaricato del trattamento in un altro
paese con obblighi pi tenui sia considerata come violazione degli obblighi del
responsabile del trattamento. 34 La
legge greca, ad esempio, prevede sanzioni solo per i responsabili del
trattamento e i loro rappresentanti, ma non per gli incaricati del trattamento. |