di Luigi Montuori
Commissione europea – Proposta relativa al nuovo Regolamento Europeo in materia di protezione dei dati – 25 gennaio 2012
PRIMA PARTE. L’entrata in vigore di questo Regolamento permetterà che la medesima disciplina sia contemporaneamente in vigore in tutti i paesi della UE, codificata in un unico testo. Una delle questioni più delicate del testo del nuovo regolamento in materia di protezione di dati personali, allo stato attuale, è l’applicabilità della normativa comunitaria e italiana alle società stabilite fuori dalla UE che offrono servizi online. Il principio generale che si è formato per consuetudine è quello del cosiddetto “contatto” o “collegamento”, in base al quale lo Stato può intervenire quando è ravvisabile un qualche collegamento tra il comportamento posto in essere dal soggetto straniero e lo Stato territoriale o i suoi cittadini.
La Commissione europea il 25 gennaio 2012 ha presentato ufficialmente la proposta relativa al nuovo Regolamento Europeo in materia di protezione dei dati, che andrà a sostituire la direttiva 95/46/CE. Il regolamento ha il vantaggio di essere immediatamente esecutivo, non richiedendo la necessità di recepimento da parte degli Stati membri e può garantire una migliore armonizzazione della disciplina giuridica all’interno della UE. L’entrata in vigore di questo Regolamento permetterà che le stesse direttive siano contemporaneamente in vigore in tutti i paesi della UE uniformandoli sotto un unico codice. Una delle questioni più delicate del testo del nuovo regolamento in materia di protezione di dati personali, allo stato attuale(1), è l’applicabilità della normativa comunitaria e italiana alle società stabilite fuori dalla UE che offrono servizi online, peraltro assai diversificati e variegati riferendosi a numerosi settori (motori di ricerca, vendita di e-book, mappe dei luoghi; andando dalla posta elettronica, al posizionamento geografico, sino alla pubblicità personalizzata). Grazie ai numerosi servizi offerti queste società incrementano una raccolta di dati personali divenuta ora eccezionalmente omnicomprensiva e spesso assai invasiva nei confronti degli interessati.
Si tratta di affrontare quindi una questione generale, risalente alle origini stesse del diritto internazionale(2) e che è connessa al tema dell’esercizio della sovranità statale al di fuori del proprio territorio. Il principio generale che si è formato per consuetudine è quello del cosiddetto “contatto” o “collegamento”, in base al quale lo Stato può intervenire, nell’esercizio e nei limiti del proprio potere sovrano, quando è ravvisabile un qualche collegamento tra il comportamento posto in essere dal soggetto straniero e lo Stato territoriale o i suoi cittadini(3).
Con l’avvento di Internet, che per sua stessa natura facilita rapporti giuridici tra soggetti di diverse nazionalità, questa situazione è divenuta sempre più frequente. Basti pensare a tutti quei casi in cui i tribunali applicano il diritto penale nazionale per proibire l’accesso a contenuti pornografici o razzisti su server di Internet stranieri. Inoltre, con la nascita dell’ordinamento comunitario, non è più sufficiente riferire il concetto di sovranità statale soltanto alla singola nazione, ma è necessario ripensare l’idea del potere sovrano come riferibile anche all’Unione Europea nel suo complesso. Per tale motivo, il principio di diritto internazionale prima menzionato trova la sua applicabilità anche nel diritto comunitario: in alcune situazioni la Corte di Giustizia europea e la Commissione europea hanno ritenuto, e ritengono opportuno, imporre norme comunitarie a soggetti stabiliti al di fuori dell’UE. È il caso, ad esempio, delle decisioni della Commissione europea nel settore della concorrenza, che riguardano società stabilite al di fuori dell’UE(4,5).
Fatte queste premesse, anzitutto è opportuno esaminare come il Codice per la protezione dei dati personali nella testo vigente(6) disciplina la questione dell’applicabilità delle norme in materia di protezione dei dati personali. Il criterio utilizzato dal legislatore italiano è fondato su diversi presupposti:
- anzitutto la presenza, nel territorio soggetto alla sovranità statale, di colui che effettua il trattamento di dati personali (criterio dello “stabilimento”);
- qualora invece il titolare del trattamento non risieda in Italia, né appartenga ad un Paese membro dell’Unione Europea, il criterio in base al quale deve ritenersi applicabile la disciplina del Codice è l’esistenza di un “collegamento” con il territorio dello Stato consistente, nel caso specifico, nell’utilizzo di “strumenti” che si trovano nel territorio italiano (salvo siano utilizzati per fini di mero transito);
- un ulteriore criterio di collegamento non riguarda lo stabilimento, ma il luogo soggetto alla sovranità dello Stato, come per l’esempio classico della nave, ove vale il principio per il quale ogni Stato esercita in via esclusiva la giurisdizione sulle proprie navi con la conseguenza che uno Stato non può fermare o abbordare navi battenti bandiera straniera se non in presenza di particolari circostanze.
In ogni caso per il titolare che risieda all’estero, laddove risulti applicabile la disciplina del Codice, è obbligatoria la designazione di un rappresentante stabilito nel territorio dello Stato.
Molte di queste società extraeuropee rientrano nella seconda ipotesi, quella prevista dall’art. 5 del Codice al comma 2, e dunque sono assoggettabili alla disciplina nazionale in virtù del criterio di collegamento previsto dalla norma stessa, ossia l’utilizzo di strumenti situati sul territorio statale.
Quest’ultimo criterio è ovviamente il frutto del recepimento della direttiva 95/46/CE che, all’art. 4 lettera c), prevede tra le ipotesi di applicabilità della disciplina quella in cui il “responsabile(7), non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio dello Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea”.
Il Gruppo di lavoro per la tutela dei dati personali (costituito ai sensi dell’art. 29 della direttiva 95/46/CE, più brevemente WP29) ha predisposto al riguardo, già dal 2002, un documento(8) che fornisce, tra l’altro, anche la corretta interpretazione del termine “strumenti”, atteso che è su questo che si fonda il criterio di collegamento; si è osservato che il criterio di collegamento scelto è un fattore di connessione classico nel diritto internazionale, ossia il legame fisico tra l’azione e un sistema giuridico; in secondo luogo è stato ribadito come l’obiettivo di tale scelta normativa sia proprio quello di garantire che una persona non sia privata di tutela con riguardo al trattamento effettuato nel proprio Paese per il solo fatto che il responsabile non risulti stabilito nel territorio comunitario.
Dal momento che la direttiva non contiene una precisa definizione del termine “strumenti”, il Gruppo allora ha specificato che non necessariamente tutte le interazioni tra un utente di Internet nell’UE e un titolare stabilito al di fuori dell’UE portano all’applicazione della normativa in materia di tutela dei dati personali. Il potere di disposizione sullo strumento non va ovviamente confuso con il diritto di proprietà su di esso, cui la norma non attribuisce alcuna rilevanza. Il Gruppo ha osservato infatti che, ai fini della individuazione della titolarità del trattamento, gli strumenti debbano essere a disposizione del titolare/responsabile per il trattamento dei dati personali e che questi debba avere il concreto potere di determinarne le modalità di funzionamento e le finalità del trattamento dei dati stessi. Il WP29 ha peraltro ritenuto che i titolari così individuati siano obbligati, nell’attività di trattamento dei dati personali, al rispetto della direttiva e dunque, nei singoli Paesi membri, della legge di recepimento(9).
Nel concetto sotteso al termine “strumento” (“equipment”), il WP29 ha ritenuto di includere diverse tipologie di dispositivi: sia oggetti che consentono materialmente di raccogliere dati personali (ad esempio il personal computer dell’utente e, per analogia, quindi, anche il terminale mobile dell’utente), sia, più in generale, i software che, una volta installati, permettono la fornitura del servizio, sia ancora i cookies, ossia i file di testo che si auto installano all’interno del dispositivo dell’utente e che consentono la trasmissione, al server del fornitore di servizi, di dati personali quali indirizzo ip, identificativo del browser, ecc. (come, ad esempio, nel caso dei cookies utilizzati per la pubblicità personalizzata, c.d. marketing profilato).
Inoltre, si deve ricordare che anche il Garante italiano, già nel 2010, nei confronti di uno dei più noti servizi di Google Inc. (Street View), ha in concreto applicato il concetto di “equipment” e affermato la sua competenza sulla società americana, adottando specifici provvedimenti a tutela dei dati personali degli interessati(10).
Tuttavia, la generalità delle società aventi lo stabilimento principale al di fuori del territorio della UE nega la propria soggezione alla normativa (europea e nazionale) in materia di protezione dei dati personali, contestando innanzitutto la sussistenza del criterio di collegamento con gli ordinamenti giuridici dei Paesi UE, e così rifiutandosi di aderire a tale interpretazione.
La contestazione parte dal presupposto che la direttiva in questione è risalente al 1995, periodo in cui il legislatore ancora non aveva ben chiaro il quadro di sviluppo delle nuove tecnologie attualmente esistenti. L’interpretazione che attribuisce a semplici file di testo (quali i cookies) o software installati sui computer degli utenti (basti pensare alle apps) la qualifica di “strumenti” rilevanti ai fini dell’applicabilità della normativa sarebbe dunque assolutamente inverosimile e fuorviante rispetto ai reali scopi della direttiva stessa(11).
Risulta chiaro, quindi, come la disciplina relativa all’ambito di applicazione delle norme in questione sia oggetto di una delicata questione interpretativa, caratterizzata da tesi che si contrappongono sul significato e sulla portata da attribuire al termine “strumenti”, ma che, più in generale, riguarda anche il tema dell’applicabilità ed i limiti di norme adottate in un ambito territoriale specifico e sull’opportunità – e, a tratti, la complessità – di ricercare approcci interpretativi che siano al passo con gli sviluppi della tecnologia. Internet è luogo di libertà senza regole né leggi? La risposta non può che essere negativa(12). La vera questione che emerge infatti è la necessità di individuare soluzioni bilanciate a tutela delle persone su Internet per evitare che queste ne rimangano prive.
A parere dello scrivente, la tesi sostenuta da alcune tra le più importanti società extra UE può essere confutata per molteplici ragioni che di seguito si prova a enucleare.
Se è vero che operazione imprescindibile nell’interpretazione di una norma è quella di risalire all’intenzione del legislatore(13), è chiaro come l’obiettivo della norma di cui all’art. 4 della direttiva 95/46/CE fosse proprio quello di evitare “che una persona venga privata della tutela cui ha diritto in forza della presente direttiva” e che quindi, come desumibile dal ventesimo considerando, “la tutela delle persone prevista dalla presente direttiva non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo; che in tal caso, è opportuno che i trattamenti effettuati siano disciplinati dalla legge dello Stato membro nel quale sono ubicati i mezzi utilizzati per il trattamento in oggetto e che siano prese le garanzie necessarie per consentire l’effettivo rispetto dei diritti e degli obblighi previsti dalla presente direttiva”.
Inoltre, in virtù di quanto riportato precedentemente, la tesi del WP29 appare assolutamente giustificabile anche dal punto dei principi generali sopra richiamati del diritto internazionale oltre che del diritto contrattuale, poiché evidentemente un comportamento o un’attività, o anche una mera dichiarazione di volontà, di un soggetto estraneo all’ordinamento comunitario può comunque avere, a certe condizioni, effetti rilevanti giuridicamente sui “cittadini” appartenenti all’Unione. Basti pensare, peraltro, alle varie applicazioni delle norme nazionali di diritto internazionale privato, come la legge italiana 31 maggio 1995 n. 218(14), che si occupa di individuare il diritto applicabile a fattispecie in cui siano compresenti elementi afferenti a più ordinamenti giuridici e che risolve i potenziali conflitti proprio sulla base del criterio di collegamento più stretto fra i vari ordinamenti interessati(15).©
NOTE
- In vero, va evidenziato che il testo attuale è ancora una mera bozza, pur già ampiamente ragionata, che, considerata anche l’eterogeneità delle posizioni dei vari Paesi coinvolti e la complessità delle procedure normative UE, potrebbe risultare ben diversa dal testo definitivo che probabilmente non vedrà la luce prima del 2015. Ma la rilevanza del nuovo Regolamento – anche sotto il profilo dell’impatto che avrà senz’altro sul vigente Codice italiano (d.lgs. n. 196/2003), destinato, con la futura presa di efficacia della nuova normativa, probabilmente ad una abrogazione, perlomeno parziale se non integrale – induce a formulare le presenti osservazioni.
- Così, Gruppo per la tutela dei dati personali (articolo 29), documento di lavoro sulla determinazione dell’applicazione internazionale della normativa comunitaria in materia di tutela dei dati al trattamento dei dati personali su Internet da parte di siti Web non stabiliti nell’UE, 30 maggio 2002, 5035/01/IT/def., WP 56.
- Su questo principio generale si fonda, ad esempio, la legittimità, prevista dalla norma di cui all’art. 10 del nostro Codice Penale, di punire lo straniero che commetta in territorio estero, a danno dello Stato o di un cittadino, un delitto per il quale la legge italiana stabilisce l’ergastolo o la reclusione non inferiore nel minimo ad un anno. La norma richiede ovviamente alcune condizioni affinché lo Stato possa dar seguito al proprio potere punitivo: lo straniero deve trovarsi nel territorio dello Stato e deve esserci una richiesta del Ministro della giustizia o un’istanza o querela della persona offesa.
- Nella decisione del 3 Luglio 2001 (COMP/M. 2220), la Commissione ha deciso di bloccare il progetto di fusione tra General Electric e Honeywell, due società statunitensi, in quanto questa avrebbe creato una “concentrazione incompatibile con il mercato comune”. La Commissione ha stabilito che il fatturato totale a livello comunitario delle due società ammontava a più di 250 milioni di euro e ha pertanto concluso che l’operazione notificata presentava una “dimensione comunitaria”.
- Inoltre, l’Autorità per la concorrenza e il mercato ha aperto diverse istruttorie nei confronti di Google Italy per verificare se i comportamenti della società americana, in considerazione della sua indiscussa predominanza nella fornitura di servizi di ricerca online, siano idonei a incidere indebitamente sulla concorrenza nel mercato della raccolta pubblicitaria online e a consolidare la sua posizione nella intermediazione di spazi pubblicitari.
- In particolare, v. art. 5 Codice.
- La direttiva 95/46/CE parla di responsabile esattamente nella stessa accezione con cui il nostro D.lgs. 196/03 (Codice) parla di Titolare: la persona, dunque, che ha potere decisionale su finalità e modalità del trattamento. Dunque, quando nella disciplina posta dalla direttiva comunitaria si parla di “responsabile”, deve in realtà intendersi il “titolare” di cui all’art. 28 del Codice.
- Cfr. WP29, “Documento di lavoro sulla determinazione dell’applicazione internazionale della normativa comunitaria in materia di tutela dei dati al trattamento dei dati personali su Internet da parte di siti Web non stabiliti nell’UE”, 30 maggio 2002, 5035 IT/def., WP 56.
- Tale affermazione è ribadita anche in una delle lettere oggetto dello scambio epistolare tra il Working party e Google, in particolare quella del 16 maggio 2007, in cui il Gruppo afferma che “Althought Google’s Headquarters are based in the United States, Google is under legal obligation to comply with European laws, in particular privacy laws, as Google’s services are provided to European citizens and it maintains data processing activities in Europe, especially the processing of personal data that takes place at its European centre”: cfr. http://ec.europa.eu/justice_home/fsi/privacy/index.en.htm.
- In relazione al servizio Street View, l’Autorità è intervenuta con il provvedimento del 15 ottobre 2010 [doc. web n. 1759972], con il quale ha prescritto a Google di informare i cittadini italiani della presenza delle Google cars (i veicoli che circolano nelle città acquisendo immagini fotografiche di luoghi e persone poi pubblicate on line ai fini del servizio Street View), chiedendo alla società statunitense di fornire ai cittadini dettagliate notizie sul passaggio delle auto, affinché potessero decidere in piena libertà i propri comportamenti ed eventualmente scegliere di sottrarsi alla “cattura” delle immagini e allontanarsi dai luoghi ripresi. Il Garante ha ritenuto che al trattamento di dati effettuato dal servizio Street View si debbano applicare le norme del Codice, essendo tale servizio effettuato con “strumenti” (vetture, impianti fotografici ecc.) situati nel territorio italiano. Alla società californiana è stato ordinato inoltre di pubblicare sul proprio sito web, tre giorni prima che inizino le riprese, l’elenco delle località visitate dalle vetture in questione e di dare il medesimo avviso sulle pagine di cronaca locale di almeno due quotidiani e per mezzo di un’emittente radiofonica locale per ogni regione visitata. Infine, è opportuno conta sottolineare che, con il medesimo provvedimento, alla società californiana è stato anche imposto di nominare un proprio rappresentante sul territorio italiano al quale possano rivolgersi i cittadini per la tutela dei loro diritti, con particolare riferimento a quelli di cui agli artt. 7 ss. del Codice. Ancor prima, si segnala il provvedimento del 9 settembre 2010 [doc. web n. 1750529], con cui il Garante ha imposto a Google, che risultava aver raccolto sia dati relativi alla presenza di reti Wi-Fi (wireless fidelity) sia frammenti di comunicazioni elettroniche trasmesse dagli utenti su alcune reti Wi-Fi non protette da protocolli sicuri e da cifratura (c.d. payload data), di bloccare qualsiasi trattamento dei suddetti dati captati dalle Google car.
- Si riporta di seguito l’esatta affermazione di Google al riguardo: “Given the nature of cookies and other similar applications that rely on Internet connectivity to enable a service provider to recognise a particular user, concluding that a non – EEA controller is subject to the laws of every EEA member state as a result of the existence of a file in the terminal equipment of its EEA-based users seems very far-fetched and beyond the aims of the Data Protection Directive”.
- Basti riflettere che anche in un caso complesso come quello scaturito a seguito dell’emergere di casi di tracciamento e intercettazioni a seguito delle rivelazioni di Snowden è stata applicata la legislazione californiana e statunitense argomentando anche sul fatto che ICANN – Internet Corporation for Assigned Names and Numbers – ha sede in California.
- Anche il nostro art. 12 delle Disposizioni sulla legge in generale sancisce: “Nell’applicare la legge non si può ad essa attribuire altro senso che quello fatto palese dal significato proprio delle parole secondo la connessione di esse, e dalla intenzione del legislatore”.
- Si tratta del testo relativo alla “Riforma del sistema italiano di diritto internazionale privato”, pubblicata in G.U. 3.06.19.
- Uno dei tanti esempi forniti da tale legge è l’art. 54 (diritti su beni immateriali), in base alla quale “i diritti su beni immateriali sono regolati dalla legge dello Stato di utilizzazione”, dove evidentemente, a prescindere dal diritto di proprietà o dal luogo di ubicazione del bene, viene valorizzato il criterio di collegamento del luogo di utilizzo del bene. Conseguentemente è ritenuta applicabile la legge nazionale di tale luogo invece delle altre leggi nazionali potenzialmente in rilievo nella medesima fattispecie. Viene quindi scelto un criterio analogo a quello dell’”equipment”, che, come si è già visto sopra, consente di ritenere applicabile la legge del luogo in cui è, con varie modalità e finalità, operativo lo strumento necessario per il trattamento dei dati dell’interessato.◊
Articoli pubblicati da Luigi Montuori