Caso Privacy: sito di e-commerce estero che vende al consumatore in Italia

Anche senza sedi fisiche, se il contesto dell’attività è italiano (ad esempio lingua usata, prezzi in euro ecc.), si deve applicare la legge nazionale (comprese le tutele e i ricorsi al Garante della privacy). Il principio è desumibile da una sentenza della Corte di giustizia Ue del 28 luglio 2016 a proposito di una vertenza, pendente tra una associazione di consumatori austriaca e Amazon, finalizzata a bloccare alcune clausole contrattuali, che escludevano l’applicazione del diritto austriaco.

Nel caso specifico l’associazione dei consumatori ha sollevato la questione dell’interpretazione della direttiva europea sulla privacy 95/46/CE, che sarà nel maggio 2018 sostituita dal Regolamento 2016/679.

Secondo la direttiva 95/46 (articolo 4) la legislazione nazionale sulla privacy (in Italia, il codice della privacy) si applica al trattamento di dati personali effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello stato Ue; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati dell’Unione, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile.

La sentenza specifica che il commercio elettronico è svolto da una società, senza sedi o filiali in Austria, appartenente a un gruppo internazionale di commercio a distanza che, per quel che interessa la vicenda di merito, tra le altre attività, si rivolge, mediante un sito Internet avente un nome di dominio con estensione «.de», a consumatori residenti in Austria con i quali stipula contratti di commercio elettronico.

I giudici austriaci, prima di decidere la causa, hanno rinviato il caso alla corte di giustizia e la risposta della corte richiama l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, nella parte in cui prescrive che ciascuno Stato Ue applica le disposizioni nazionali adottate per l’attuazione della medesima direttiva al trattamento di dati personali quando esso è effettuato nell’ambito delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato Ue.

Secondo la Corte di Giustizia, è ininfluente il fatto che l’impresa responsabile del trattamento dei dati non possieda né filiali né succursali in uno Stato. Anche se non basta a ritenere applicabile la legge dello stato di destinazione dell’attività il semplice fatto che da lì sia accessibile il sito Internet dell’impresa in questione.

Occorre invece valutare, come già rilevato dalla Corte, sia il grado di stabilità dell’organizzazione sia l’esercizio effettivo delle attività nello Stato Ue interessato.

Bisogna, dunque, verificare se il trattamento dei dati personali sia effettuato «nel contesto delle attività» dello stabilimento. Si noti che la direttiva non esige che il trattamento di dati personali in questione venga effettuato «dallo» stabilimento interessato stesso, bensì soltanto «nel contesto delle attività» di quest’ultimo. E la palla ritorna al giudice nazionale cui spetta se l’impresa di e-commerce proceda al trattamento dei dati in esame nel contesto delle attività di uno stabilimento situato in un altro stato Ue.

La regola, in conclusione, è che il trattamento di dati personali effettuato da un’impresa di commercio elettronico è disciplinato dal diritto dello Stato Ue verso il quale detta impresa dirige le proprie attività, qualora sia accertato che tale impresa procede al trattamento dei dati in esame nel contesto delle attività di uno stabilimento situato in nel diverso stato Ue.

Spetta dunque al giudice nazionale valutare se ciò si verifichi effettivamente.