Il 24 settembre 2024, l'Autorità per la protezione dei dati ha approvato uno schema di…
Corte di Giustizia: normativa Stato su tutela dei dati può essere applicata a una società straniera con un’organizzazione stabile
In un caso che coinvolge una società slovacca e l’Authority ungherese. Il giudice di rinvio dovrà ora accertare l’esistenza di tale ‘stabilimento’. In un’altra sentenza, la Corte dichiara che il diritto dell’Unione osta alla trasmissione e al trattamento di dati personali tra due amministrazioni pubbliche di uno Stato membro se le persone interessate non ne vengono preventivamente informate La normativa di uno Stato membro sulla tutela dei dati può essere applicata a una società straniera che svolge, in tale Stato, tramite un’organizzazione stabile, un’attività reale ed effettiva. È quanto ha stabilito la Corte di Giustizia dell’Unione Europea intervenendo su una caso che vedeva coinvolte una società slovacca e l’autorità ungherese incaricata della tutela dei dati. Il caso – La direttiva sulla tutela dei dati personali (Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995) prevede che ciascuno Stato membro designi una o più autorità pubbliche incaricate di sorvegliare, nel suo territorio, sull’applicazione delle disposizioni nazionali di attuazione adottate dagli Stati membri in base alla direttiva. Ogni autorità garante della protezione dei dati personali dispone, nel suo territorio, di poteri investigativi e d’intervento, indipendentemente dalla legge nazionale applicabile alla singola fattispecie in considerazione. Inoltre, ciascuna autorità garante può essere invitata ad esercitare i propri poteri su domanda dell’omologa autorità di altro Stato membro. La Weltimmo, una società registrata in Slovacchia, gestisce un sito Internet di annunci immobiliari riguardanti beni situati in Ungheria. Nell’ambito di tale attività, essa tratta i dati personali degli inserzionisti. Gli annunci sono pubblicati gratuitamente per un mese, trascorso il quale diventano a pagamento. Allo scadere del primo mese, molti inserzionisti hanno inviato un messaggio di posta elettronica chiedendo l’eliminazione dei propri annunci e, con l’occasione, anche la cancellazione dei propri dati personali. La Weltimmo, però, non avrebbe cancellato tali dati e ha fatturato agli interessati i servizi forniti. A fronte del mancato pagamento delle somme fatturate, la Weltimmo ha poi trasmesso ad alcune agenzie di recupero crediti i dati personali degli inserzionisti. Gli inserzionisti hanno dunque presentato reclamo all’autorità ungherese incaricata della tutela dei dati, la quale ha imposto alla Weltimmo un’ammenda di dieci milioni di fiorini ungheresi (circa 32mila euro) per aver violato la legge ungherese di attuazione della direttiva. La Weltimmo ha quindi contestato la decisione dell’autorità di controllo dinanzi ai giudici ungheresi. Chiamata a dirimere la controversia in cassazione, la Kúria (Corte suprema dell’Ungheria) ha chiesto alla Corte di giustizia se, nel caso di specie, la direttiva consentisse all’autorità ungherese di controllo di applicare la legge ungherese adottata sulla base della direttiva e di imporre l’ammenda prevista da tale legge (causa C-230/14). La sentenza – La Corte di Giustizia ricorda che, secondo la direttiva, ciascuno Stato membro applica le norme adottate in forza della direttiva medesima al trattamento di dati effettuato nel contesto delle attività svolte sul suo territorio da uno stabilimento del soggetto responsabile del trattamento. La presenza, in uno Stato, di un unico rappresentante del predetto soggetto responsabile, in talune circostanze, può essere sufficiente a costituire uno stabilimento se tale rappresentante opera con un grado di continuità sufficiente a fornire i servizi dell’impresa in quel certo Stato. Inoltre, la nozione di stabilimento si estende a qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione a carattere permanente. Nel caso di specie, la Corte osserva che “la Weltimmo svolge indubbiamente un’attività reale ed effettiva in Ungheria”. Inoltre, come si evince dalle precisazioni fornite dall’autorità ungherese di controllo, “la Weltimmo ha un rappresentante in Ungheria, il quale figura nel registro slovacco delle società a un indirizzo situato in Ungheria e ha cercato di negoziare con gli inserzionisti il pagamento dei crediti insoluti. Tale rappresentante è stata la persona di contatto tra la Weltimmo e gli inserzionisti e ha rappresentato la società nel corso dei procedimenti amministrativo e giudiziario. La Weltimmo ha aperto, inoltre, in Ungheria un conto bancario destinato al recupero dei crediti e si serve di una casella postale nel territorio ungherese per la gestione dei suoi affari correnti”. Tali elementi, che spetta al giudice del rinvio di verificare, per la Corte “possono configurare l’esistenza di uno stabilimento, ai sensi della direttiva, nel territorio ungherese. Se così è, l’attività della Weltimmo è soggetta alla normativa ungherese in materia di tutela dei dati”. La Corte sottolinea che “ciascuna autorità di controllo creata da uno Stato membro sorveglia l’osservanza, nel territorio di tale Stato, delle disposizioni di attuazione della direttiva, adottate da tutti gli Stati membri. Di conseguenza, a ciascuna autorità di controllo può essere presentata da chiunque una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali, anche se il diritto applicabile a tale trattamento è quello di un altro Stato membro”. Tuttavia, nel caso si applichi il diritto di un altro Stato membro, i poteri d’intervento dell’autorità di controllo “devono essere esercitati nel rispetto, in particolare, della sovranità territoriale degli altri Stati membri, cosicché un’autorità nazionale non può imporre sanzioni al di fuori del territorio del suo Stato”. Di conseguenza, “qualora il giudice del rinvio dichiarasse che la Weltimmo non dispone di uno stabilimento, ai sensi della direttiva, nel territorio ungherese e che il diritto applicabile al trattamento di cui è causa è perciò quello di un altro Stato membro, l’autorità ungherese di controllo non potrebbe esercitare i poteri sanzionatori attribuitile dal diritto ungherese”. In virtù dell’obbligo di collaborazione previsto dalla direttiva, tale autorità “deve comunque chiedere all’autorità di controllo dell’altro Stato membro interessato di accertare un’eventuale violazione del diritto di tale Stato e di imporre le eventuali sanzioni da esso previste”. Informazione preventiva – In un’altra sentenza, relativa alla causa C-201/14, la Corte ha dichiarato che i cittadini i cui dati personali siano oggetto di trattamento e di trasmissione tra due amministrazioni pubbliche di uno Stato membro devono essere preventivamente informati. Il caso origina quando le dichiarazioni dei redditi di alcuni cittadini rumeni, lavoratori autonomi, sono stati trasmessi dall’amministrazione tributaria della Romania alla Cassa nazionale malattia, che ha dunque richiesto il pagamento di contributi previdenziali arretrati. Gli interessati hanno contestato dinanzi alla Curtea de Apel Cluj (Corte di Appello di Cluj) la legittimità di tale trasmissione di dati ai sensi della direttiva europea. A loro avviso, i dati personali sarebbero stati utilizzati a fini diversi da quelli per i quali erano stati inizialmente comunicati all’amministrazione tributaria, senza che gli interessati fossero stati preventivamente informati. Il diritto rumeno consente agli enti pubblici di trasmettere dati personali alle casse malattia affinché queste ultime possano accertare la qualità di assicurato delle persone interessate. Tali dati riguardano l’identificazione delle persone (nome, cognome, indirizzo), ma non anche i redditi percepiti. In tale contesto, la Corte di Appello di Cluj ha domandato, in sostanza, alla Corte di giustizia se il diritto dell’Unione osti a che un’amministrazione pubblica di uno Stato membro trasmetta dati personali a un’altra amministrazione pubblica, a fini di trattamento, senza che le persone interessate siano state informate né di tale trasmissione né del successivo trattamento. Con la sentenza odierna, la Corte di Giustizia considera che “l’obbligo di trattamento leale dei dati personali richiede che un’amministrazione pubblica informi le persone interessate del fatto che i loro dati saranno trasmessi a un’altra amministrazione che li tratterà in qualità di destinatario. La direttiva stabilisce esplicitamente che ogni eventuale restrizione all’obbligo d’informazione sia adottata con disposizione legislativa”. La legge rumena che prevede la trasmissione gratuita dei dati personali alle casse malattia non dispensa il responsabile del trattamento dall’obbligo di informare le persone delle quali sono raccolti i dati. Detta legge, infatti, “non definisce né le informazioni trasmissibili né le modalità di trasmissione, le quali figurano unicamente in un protocollo bilaterale tra l’amministrazione tributaria e la cassa nazionale”. Quanto al successivo trattamento dei dati trasmessi, la direttiva dispone che “il responsabile del trattamento informi le persone interessate della sua identità, delle finalità del trattamento e di ogni altro elemento necessario per garantire un trattamento leale dei dati. Tra tali elementi supplementari sono previste le categorie di dati interessate e l’esistenza di un diritto di accesso e di rettifica”. La Corte osserva che “il trattamento da parte della Cassa nazionale malattia dei dati trasmessi dall’amministrazione tributaria implicava che le persone interessate fossero informate delle finalità di tale trattamento e delle categorie di dati interessate. Nel caso di specie, la cassa malattia non ha comunicato tali informazioni”. La Corte conclude che “il diritto dell’Unione osta alla trasmissione e al trattamento di dati personali tra due amministrazioni pubbliche di uno Stato membro se le persone interessate non ne vengono preventivamente informate”. 1 ottobre 2015