CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:426

CONCLUSIONI DELL’AVVOCATO GENERALE

PEDRO CRUZ VILLALÓN

presentate il 25 giugno 2015 (1)

Causa C‑230/14

Weltimmo s.r.o.

contro

Nemzeti Adatvédelmi és Információszabadság Hatóság

[domanda di pronuncia pregiudiziale proposta dalla Kúria (Ungheria)]

«Protezione dei dati personali – Direttiva 95/46/CE – Articoli 4, paragrafo 1, e 28, paragrafi 1, 3 e 6 ‑ Responsabile del trattamento dei dati stabilito nel territorio di un altro Stato membro – Determinazione del diritto applicabile e dell’autorità di controllo competente – Poteri dell’autorità di controllo – Potere sanzionatorio – Nozione di “trattamento dei dati”»

1. Le questioni pregiudiziali sollevate dalla Kúria (Corte suprema ungherese) traggono origine da una controversia che oppone la Magyar Adatvédelmi és Információszabadság Hatóság (in prosieguo: l’«Autorità ungherese per la protezione dei dati») a un’impresa che gestisce una «pagina Internet» di intermediazione immobiliare, registrata in Slovacchia, sulla quale sono pubblicizzati immobili siti in Ungheria.

2. Così intesa, la presente causa offre alla Corte un’ulteriore possibilità di pronunciarsi sulla determinazione del diritto applicabile al trattamento di dati ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (2), già interpretato nella sentenza Google Spain e Google (3). Inoltre, il caso di specie solleva questioni inedite relative sia alla determinazione dell’autorità di controllo competente, sia al diritto nazionale applicabile da detta autorità e ai suoi poteri di azione, con particolare riguardo al potere di imporre sanzioni.

I – Ambito normativo

A – Il diritto dell’Unione

3. La direttiva 95/46 stabilisce vari criteri per la determinazione della legge applicabile al trattamento di dati personali. Il considerando 18 enuncia che, «(…) onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, è necessario che qualsiasi trattamento di dati personali effettuato nella Comunità rispetti la legislazione di uno degli Stati membri; (…) a questo proposito, è opportuno assoggettare i trattamenti effettuati da una persona che opera sotto l’autorità del responsabile del trattamento stabilito in uno Stato membro alla legge di tale Stato».

4. D’altro canto, il considerando 19 della direttiva 95/46 sottolinea che «lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile; che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo (…)». Il medesimo considerando enuncia che, «quando un unico responsabile del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi».

5. L’articolo 4, paragrafo 1, della direttiva 95/46, la cui lettera a) è pertinente ai fini della presente controversia, costituisce la norma relativa al diritto applicabile al trattamento di dati e così prevede:

«1. Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:

a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;

(…)».

6. L’articolo 28, che costituisce la disposizione relativa alle autorità di controllo in materia di protezione dei dati, così dispone ai paragrafi 1, 3, 4 e 6:

«1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri.

Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite.

(…)

3. Ogni autorità di controllo dispone in particolare:

– di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo;

– di poteri effettivi d’intervento, come quello di formulare pareri prima dell’avvio di trattamenti, conformemente all’articolo 20, e di dar loro adeguata pubblicità o quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali;

– del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie.

È possibile un ricorso giurisdizionale avverso le decisioni dell’autorità di controllo recanti pregiudizio.

4. Qualsiasi persona, o associazione che la rappresenti, può presentare a un’autorità di controllo una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. La persona interessata viene informata del seguito dato alla sua domanda.

Qualsiasi persona può, in particolare, chiedere a un’autorità di controllo di verificare la liceità di un trattamento quando si applicano le disposizioni nazionali adottate a norma dell’articolo 13 della presente direttiva. La persona viene ad ogni modo informata che una verifica ha avuto luogo.

(…)

6. Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro.

Le autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti, in particolare scambiandosi ogni informazione utile.

(…)».

B – Il diritto ungherese

7. La legge CXII del 2011, sul diritto di autodeterminazione in materia di informazione e sulla libertà di informazione (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011; in prosieguo: la «legge informazioni»), è la norma nazionale che recepisce la direttiva 95/46.

8. L’articolo 2 della legge informazioni dispone quanto segue:

«(1) Rientrano nell’ambito di applicazione della presente legge tutte le operazioni di trattamento ed elaborazione dei dati effettuate in territorio ungherese con riguardo a dati di persone fisiche, dati di interesse pubblico o dati accessibili per motivi di interesse pubblico.

(2) La presente legge si applica tanto alle operazioni di trattamento quanto a quelle di elaborazione dei dati, effettuate attraverso strumenti totalmente o parzialmente automatici, nonché manualmente.

(3) Le disposizioni della presente legge devono essere applicate qualora il responsabile del trattamento dei dati, che tratta dati personali al di fuori del territorio dell’Unione europea, affidi l’elaborazione dei dati a un apposito incaricato che detenga in territorio ungherese la propria sede o uno stabilimento, una succursale, il domicilio privato o la propria residenza oppure utilizzi uno strumento ivi situato, a meno che questo non sia utilizzato ai soli fini di transito nel territorio dell’Unione europea. Detto responsabile del trattamento dei dati deve designare un rappresentante nel territorio ungherese».

9. L’articolo 3 della legge informazioni, dal suo canto, prevede che, ai fini dell’applicazione della medesima legge, si intende per:

«(9) responsabile del trattamento dei dati (“adatkezelő”): la persona fisica o giuridica o un’entità priva di personalità giuridica che, da sola o insieme ad altri, determina la finalità del trattamento dei dati, adotta le decisioni su detto trattamento (compresi gli strumenti impiegati a tal fine) e le attua di per sé o attraverso un incaricato dell’elaborazione dei dati (“adatfeldolgozó”);

(10) trattamento dei dati (“adatkezelés”): ogni operazione o insieme di operazioni realizzate relativamente ai dati, a prescindere dalla procedura impiegata, in particolare la raccolta, la ricezione, la registrazione, l’organizzazione, la conservazione, la modifica, l’impiego, la richiesta, la trasmissione, la pubblicazione, il raffronto o l’interconnessione, il congelamento, la cancellazione o la distruzione, nonché il divieto di altre forme di impiego dei dati, la ricezione di fotografie, suoni o immagini o la registrazione di caratteristiche fisiche necessarie per l’identificazione delle persone (ad esempio, impronte digitali o del palmo della mano, campioni di DNA o immagini dell’iride);

(11) trasmissione dei dati: la disponibilità dei dati a favore di un determinato terzo;

(…)

(17) elaborazione dei dati (“adatfeldolgozás”): l’esecuzione di compiti tecnici in relazione alle operazioni di trattamento dei dati, a prescindere dal metodo e dallo strumento impiegato per lo svolgimento delle operazioni, nonché il luogo di esecuzione delle stesse, sempre che i suddetti compiti vengano eseguiti in relazione ai dati;

(18) incaricato dell’elaborazione dei dati (“adatfeldolgozó”): persona fisica o giuridica o entità priva di personalità giuridica che, in virtù di un contratto, compresi i contratti conclusi in forza di obblighi legali, esegue l’elaborazione dei dati;

(…)».

II – Fatti e procedimento principale

10. La presente domanda di pronuncia pregiudiziale è stata proposta in occasione di un ricorso di cassazione presentato dinanzi alla Kúria contro la sentenza del Fővárosi Közigazgatási és Munkaügyi Bíróság (Tribunale amministrativo e del lavoro di Budapest), nel procedimento giurisdizionale amministrativo in materia di tutela dei dati tra la società Weltimmo s.r.o. (in prosieguo: la «Weltimmo») e l’Autorità ungherese per la protezione dei dati.

11. La Weltimmo è una società che gestisce una pagina Internet di intermediazione immobiliare e ha sede in Slovacchia. La sua attività consiste nella gestione di tale pagina Internet, sulla quale essa pubblica annunci relativi ad immobili situati in Ungheria. Detti annunci sono gratuiti per l’inserzionista per il primo mese, trascorso il quale diventano a pagamento. Non volendo passare alla modalità di servizio a pagamento, al termine del primo mese molti inserzionisti hanno inviato un messaggio di posta elettronica chiedendo la cancellazione dei propri annunci e dei propri dati personali. Tuttavia, la Weltimmo non ha dato seguito a tali richieste e ha quindi fatturato i servizi. A fronte del mancato pagamento delle fatture, la Weltimmo ha trasmesso i dati personali degli inserzionisti ad alcune agenzie di recupero crediti.

12. In risposta ai reclami presentati dagli inserzionisti, l’Autorità ungherese per la protezione dei dati ha dichiarato la propria competenza, nonché l’applicabilità della legge nazionale (ai sensi dell’articolo 3, paragrafo 10, della legge informazioni, la raccolta di dati integra un trattamento di dati), e ha imposto un’ammenda di 10 milioni di fiorini ungheresi (HUF). Tale decisione è stata impugnata dalla Weltimmo dinanzi al Tribunale amministrativo e del lavoro di Budapest, il quale, pur senza mettere in discussione la competenza dell’autorità per la protezione dei dati né la legge applicabile, ha annullato la decisione amministrativa a motivo della scarsa chiarezza di alcuni fatti allegati.

13. Nel ricorso di cassazione la Weltimmo chiede, tra l’altro, che sia dichiarata l’inutilità di procedere a un ulteriore chiarimento dei fatti giacché, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, l’Autorità ungherese per la protezione dei dati non ha la competenza per svolgere un procedimento e applicare il diritto ungherese nei confronti di un fornitore di servizi stabilito in un altro Stato membro, e a tale proposito afferma in particolare che, conformemente all’articolo 28, paragrafo 6, della direttiva 95/46, detta autorità avrebbe dovuto invitare la sua omologa slovacca ad agire nei confronti della ricorrente.

14. Per dimostrare la propria competenza e l’applicabilità della legge ungherese, l’Autorità ungherese per la protezione dei dati sostiene nel procedimento principale che la Weltimmo dispone di una «persona di contatto ungherese» – uno dei suoi titolari, di nazionalità ungherese –, che l’ha rappresentata nei procedimenti nazionali, sia in quello amministrativo che in quello giudiziario. Rileva inoltre che i titolari della Weltimmo risiedono in Ungheria. Detta autorità ritiene che, in ogni caso, l’articolo 28, paragrafo 6, della direttiva 95/46 stabilisca una competenza a suo favore, a prescindere dalla legge applicabile.

III – Questioni pregiudiziali e procedimento dinanzi alla Corte

15. In tale contesto, ritenendo che le disposizioni pertinenti della direttiva 95/46 non siano sufficientemente chiare, con decisione del 22 aprile 2014, pervenuta alla Corte il 12 maggio 2014, la Kúria ha proposto le seguenti questioni pregiudiziali:

«1) Se l’articolo 28, paragrafo 1, della direttiva 95/46(…) debba essere interpretato nel senso che la normativa nazionale di uno Stato membro può applicarsi nel suo territorio a un responsabile del trattamento dei dati, stabilito esclusivamente in un altro Stato membro, che gestisce una pagina Internet di intermediazione immobiliare e che pubblicizza, tra l’altro, immobili situati nel territorio del primo Stato membro, i proprietari dei quali trasmettono dati personali a un dispositivo (server) per la memorizzazione e l’elaborazione di dati appartenente al gestore della pagina Internet e situato in un altro Stato membro.

2) Se, alla luce dei considerando da 18 a 20 e degli articoli 1, paragrafo 2, e 28, paragrafo 1, l’articolo 4, paragrafo 1, lettera a), della direttiva sulla protezione dei dati debba essere interpretato nel senso che [l’Autorità ungherese per la protezione dei dati] non può applicare la legge ungherese sulla protezione dei dati, quale diritto nazionale, al gestore di una pagina Internet di intermediazione immobiliare stabilito esclusivamente in un altro Stato membro neppure qualora detto gestore pubblicizzi, tra l’altro, immobili ungheresi i cui proprietari hanno trasmesso, probabilmente dal territorio ungherese, i dati relativi ai propri immobili a un dispositivo (server) per la memorizzazione e l’elaborazione di dati appartenente al gestore della pagina Internet e situato in un altro Stato membro.

3) Se, a fini interpretativi, rilevi che il servizio fornito dal responsabile del trattamento di dati che gestisce la pagina Internet sia rivolto al territorio dell’altro Stato membro.

4) Se, a fini interpretativi, rilevi che i dati concernenti gli immobili situati nel territorio dell’altro Stato membro e i dati personali dei proprietari siano stati effettivamente caricati dal territorio di detto altro Stato membro.

5) Se, a fini interpretativi, rilevi che i dati personali trasmessi in relazione ai citati immobili riguardino cittadini dell’altro Stato membro.

6) Se, a fini interpretativi, rilevi che i titolari della società stabilita in Slovacchia siano domiciliati in Ungheria.

7) Qualora dalle risposte alle questioni precedenti emerga che l’Autorità ungherese per la protezione dei dati possa svolgere un procedimento ma non possa applicare il diritto nazionale, dovendo attenersi a quello dello Stato membro di stabilimento, se l’articolo 28, paragrafo 6, della direttiva sulla protezione dei dati debba essere interpretato nel senso che l’Autorità ungherese per la protezione dei dati può esercitare i poteri di cui all’articolo 28, paragrafo 3, della citata direttiva solo conformemente alla normativa dello Stato membro di stabilimento e che, pertanto, non può imporre un’ammenda.

8) Se si possa ritenere che la nozione di “adatfeldolgozás” [elaborazione dei dati], utilizzata sia nell’articolo 4, paragrafo 1, lettera a), sia nell’articolo 28, paragrafo 6, della [versione ungherese della] direttiva sulla protezione dei dati sia identica alla nozione di “adatkezelés” [trattamento dei dati], impiegata nella terminologia di detta direttiva».

16. Hanno presentato osservazioni scritte i governi ungherese, slovacco e del Regno Unito, l’Autorità ungherese per la protezione dei dati e la Commissione europea. All’udienza tenutasi il 12 marzo 2015 hanno partecipato i governi ungherese, slovacco e polacco, l’Autorità ungherese per la protezione dei dati e la Commissione europea.

IV – Analisi

17. Le varie questioni pregiudiziali sollevate dalla Kúria vertono su due problemi che, pur essendo presentati come interconnessi, vanno esaminati separatamente – come risulta anche dalle osservazioni scritte e orali presentate nel presente procedimento dinanzi alla Corte –, vale a dire quello della legge applicabile al trattamento dei dati e quello della determinazione dell’autorità di controllo competente. Per tale motivo, la mia analisi si articolerà sostanzialmente in due parti. In primo luogo, affronterò la questione della legge applicabile al trattamento dei dati e, in definitiva, la questione dello «stabilimento», esaminando congiuntamente le questioni dalla prima alla sesta. In secondo luogo, esaminerò la questione della determinazione dell’autorità di controllo competente e dei suoi poteri, analizzando altresì la questione dell’eventuale dissociazione tra l’autorità di controllo competente e la legge applicabile (settima questione). Infine, dovrò occuparmi della questione terminologica sollevata dall’ottava questione.

A – Sulla legge applicabile al trattamento dei dati e sulla nozione di stabilimento (questioni pregiudiziali dalla prima alla sesta)

18. Con le questioni dalla prima alla sesta, che è opportuno esaminare congiuntamente, la Kúria chiede, in sostanza, se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafo 1, della direttiva 95/46 possano essere interpretati nel senso che consentono, in circostanze come quelle della controversia principale, di applicare la legge ungherese sulla protezione dei dati e di riconoscere la competenza dell’autorità ungherese per la protezione dei dati ad applicare detta legge a un gestore di una pagina Internet stabilito esclusivamente in un altro Stato membro. A tale proposito, la Kúria interroga, inoltre, la Corte in merito alla rilevanza di una serie di fattori specifici, quali il fatto che i servizi dell’impresa in questione siano rivolti al territorio di un altro Stato membro, il luogo dal quale sono stati caricati i dati relativi agli immobili, la nazionalità degli interessati o il fatto che i titolari dell’impresa siano domiciliati in Ungheria.

19. Nelle prime due questioni la Kúria fa riferimento sia all’articolo 28, paragrafo 1, che all’articolo 4, paragrafo 1, lettera a), della direttiva 95/46. Tuttavia, ritengo che per rispondere a tali questioni si possa senz’altro fare a meno di esaminare la portata della prima delle disposizioni citate. Infatti, l’articolo 28, paragrafo 1, si limita ad enunciare che «[o]gni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri». Sono dell’avviso che tale disposizione non sia determinate per stabilire la legge applicabile. In primo luogo, e in un’ottica sistematica, l’articolo 28 è collocato nel capo VI della direttiva 95/46, che è inteso a regolamentare le autorità di controllo e il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, e non la questione della legge applicabile. In secondo luogo, il tenore letterale dell’articolo 28, paragrafo 1, della direttiva 95/46 non offre alcun criterio aggiuntivo per determinare la legge applicabile al trattamento dei dati. In definitiva, detta disposizione non contiene alcun elemento la cui interpretazione possa condurre a una soluzione diversa del problema della legge applicabile risultante dai criteri di cui all’articolo 4 di detta direttiva, che è quello che disciplina specificamente tale questione.

20. Concentrando ora l’attenzione sull’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, occorre rilevare anzitutto che sia le osservazioni presentate all’udienza che quelle presentate durante la frase scritta del procedimento evidenziano la rilevanza di tale disposizione ai fini della risposta alle questioni concernenti la legge applicabile, così come la particolare importanza di determinare il luogo di stabilimento della Weltimmo.

21. La problematica della legge applicabile alle situazioni transfrontaliere di trattamento dei dati è una questione controversa da decenni in ambito internazionale (4). L’articolo 4 della direttiva 95/46, che mira a determinare il diritto nazionale applicabile, è la prima disposizione che sia riuscita a stabilire una regola per la determinazione della legge applicabile a tali situazioni (5). Detta disposizione stabilisce alcuni criteri per accertare l’applicabilità del diritto nazionale adottato al fine di trasporre la direttiva, attraverso i quali definisce, indirettamente (delimitando l’applicabilità di dette norme nazionali), l’ambito di applicazione territoriale della direttiva.

22. Nelle situazioni in cui assume rilievo la questione della legge applicabile tra gli Stati membri dell’Unione risulta quindi particolarmente importante l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, secondo cui «[c]iascuno Stato membro applica le disposizioni nazionali adottate (6) per l’attuazione della presente direttiva al trattamento di dati personali: a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro».

23. L’articolo 4, paragrafo 1, lettera a), svolge quindi una duplice funzione. Da un lato, consente l’applicazione del diritto dell’Unione attraverso il diritto di uno dei suoi Stati membri quando il trattamento dei dati abbia luogo esclusivamente «nel contesto» delle attività di uno stabilimento situato nel loro territorio, e ciò anche se il trattamento dei dati «in senso proprio» viene effettuato in un terzo Stato (come accadeva nella causa Google Spain e Google (7)). Dall’altro, detta disposizione opera come norma che determina la legge applicabile tra Stati membri (che è la questione ora in esame). In quest’ultima situazione, l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 è la disposizione che determina la legge applicabile in quanto norma di conflitto tra le leggi dei diversi Stati membri.

24. A tale proposito, occorre sottolineare che il giudice nazionale formula le sue questioni in riferimento al gestore di una pagina Internet di annunci immobiliari stabilito esclusivamente in un altro Stato membro – circostanza che è contestata dall’Autorità di controllo ungherese. Secondo il Regno Unito, sarebbe evidente che la legge applicabile nella fattispecie debba essere quella dello Stato membro di stabilimento, in questo caso la Slovacchia, in quanto sarebbe preclusa all’autorità ungherese la possibilità di applicare le norme del proprio diritto nazionale. Sulla stessa linea, la Commissione sottolinea che, a prescindere dalla questione se si possa accettare l’applicazione della legge ungherese ove si ritenga che la ricorrente sia stabilita anche in territorio ungherese, la Kúria ha indicato che nel caso di specie l’impresa è stabilita esclusivamente in un altro Stato membro.

25. A tal riguardo, e al di là della valutazione di fatto relativa al luogo di stabilimento effettivo inserita nel testo delle questioni pregiudiziali, le questioni dalla terza alla sesta sollevate dalla Kúria lasciano trasparire qualche incertezza da parte del giudice del rinvio circa la nozione di stabilimento, ai sensi della direttiva, in quanto nozione forse non puramente formale. Ritengo quindi che, per dare una risposta utile alle questioni dalla prima alla sesta, occorra definire criteri che consentano di accertare se sussista un trattamento di dati effettuato «nel contesto delle attività di uno stabilimento del responsabile del trattamento» nel territorio ungherese, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46.

26. Per stabilire se nel caso di specie la legge applicabile sia quella ungherese o, al contrario, quella slovacca, occorrerebbe svolgere un esame in due fasi, seguendo il metodo adottato nella sentenza Google Spain e Google (8). Si dovrebbe quindi, in primo luogo, chiarire se la Weltimmo disponesse di uno stabilimento in territorio ungherese e, in secondo luogo, se il trattamento dei dati abbia avuto luogo nell’ambito delle attività di tale stabilimento. La questione decisiva è per l’appunto l’esistenza o meno di uno stabilimento in Ungheria e/o in Slovacchia. Pertanto, il mio esame sarà incentrato, fondamentalmente, su questa prima fase dell’analisi.

27. A tale proposito, il governo ungherese ha rilevato nelle sue osservazioni scritte che le varie versioni linguistiche della disposizione citata confermano un’interpretazione della nozione di stabilimento che può non esaurirsi nel mero riferimento alla nozione risultante dal diritto societario. Il governo slovacco, che propone parimenti una concezione non formalistica della nozione di stabilimento, osserva che in tale contesto è pertinente richiamarsi alla giurisprudenza della Corte relativa alla libertà di stabilimento. Analogamente, l’Autorità ungherese per la protezione dei dati sostiene un’interpretazione della nozione di stabilimento secondo cui la forma giuridica non è determinante e rileva che lo stabilimento può essere costituito dal rappresentante della Weltimmo nel procedimento in Ungheria, il sig. Benkö. Tale persona ha infatti rappresentato detta impresa nel procedimento amministrativo e nel processo di primo grado, ha mantenuto i contatti con gli interessati che hanno proposto i reclami e risulta iscritto nel registro delle società slovacco con un indirizzo ungherese. Inoltre, la medesima autorità ha fatto presente in udienza che la Weltimmo dispone di una casella postale in Ungheria per la gestione degli affari correnti e che l’Autorità slovacca per la protezione dei dati le ha confermato, nell’ambito di una consultazione informale, che tale impresa non svolge attività effettive in Slovacchia. Soltanto il governo polacco ha sottolineato, nelle osservazioni presentate in udienza, che si dovrebbe tenere conto esclusivamente del registro delle società di uno Stato membro in quanto unico elemento oggettivo e verificabile.

28. Ciò detto, occorre fare riferimento al considerando 19 della direttiva 95/46, che costituisce un elemento di interpretazione fondamentale per determinare il contenuto della nozione di stabilimento ai sensi della medesima direttiva. Detto considerando suggerisce una concezione flessibile della nozione in parola, che si discosta dall’impostazione formalistica secondo cui un’impresa sarebbe stabilita esclusivamente nel luogo in cui è registrata. Infatti, in primo luogo, detto considerando comprende un criterio di effettività e un elemento di stabilità laddove enuncia che «lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile (…)». In secondo luogo, esso offre una notevole flessibilità disponendo che «la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo».

29. Siffatta concezione della nozione di stabilimento è in linea con l’interpretazione che tale nozione ha ricevuto nella giurisprudenza della Corte in altri settori del diritto dell’Unione. In particolare, secondo costante giurisprudenza, «la nozione di stabilimento di cui alle disposizioni del Trattato relative alla libertà di stabilimento implica l’esercizio effettivo di un’attività economica per una durata di tempo indeterminata, mercé l’insediamento in pianta stabile in un altro Stato membro» (9), il che «presuppone (…) un insediamento effettivo della società interessata nello Stato membro ospite e l’esercizio quivi di un’attività economica reale» (10).

30. Inoltre, il parere n. 8/2010 del Gruppo dell’articolo 29 per la tutela dei dati (in prosieguo: il «Gruppo articolo 29») (11) fa riferimento all’interpretazione della nozione di stabilimento in quanto criterio di collegamento ai fini fiscali in materia di IVA (12). La giurisprudenza della Corte in tale materia risulta particolarmente interessante – giacché la nozione di stabilimento opera come criterio di collegamento per determinare l’assoggettamento a una normativa tributaria nazionale – e approfondisce la nozione di stabile organizzazione, che «(…) dev’essere caratterizzata da un sufficiente grado di permanenza e da una struttura adeguata, in termini di risorse umane e tecniche, che le consentano di ricevere ed utilizzare i servizi fornitile per le specifiche esigenze delle organizzazioni medesime» (13). Inoltre, la nozione di stabilimento presente sia nell’ambito della Convenzione di Roma (14) che in quello della Convenzione di Bruxelles (15) milita parimenti a favore di una concezione non formalistica (16).

31. A prescindere dalle ovvie differenze, in termini di contesti e di obiettivi, tra il caso in esame e gli ambiti in cui è intervenuta la giurisprudenza della Corte nelle materie sopra menzionate, è comunque significativo che il diritto dell’Unione evidenzi, in contesti diversi, una concezione della nozione di stabilimento basata sull’esercizio effettivo delle attività economiche e su un certo grado di stabilità, in linea quindi con le indicazioni che si riflettono anche nel considerando 19 della direttiva 95/46.

32. D’altro canto, tenuto conto dell’obiettivo specifico della direttiva 95/46, quale indicato al suo articolo 1, paragrafo 1, di garantire «la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali», ritengo che occorra valutare sia il grado di stabilità dell’organizzazione, sia l’esercizio effettivo delle attività prendendo in considerazione la natura specifica delle attività economiche e delle prestazioni di servizi in questione.

33. Pertanto, come rilevato dall’Autorità ungherese per la protezione dei dati e dal governo slovacco, e seguendo inoltre i criteri offerti dal Gruppo articolo 29 (17), un unico operatore può bastare per ritenere che esista un’organizzazione stabile se il medesimo opera con un grado di stabilità sufficiente attraverso la presenza dei mezzi necessari per la prestazione dei servizi concreti di cui trattasi nello Stato membro in questione.

34. Infatti, come rilevato dall’avvocato generale Jääskinen nelle conclusioni relative alla causa Google Spain e Google, per valutare le condizioni di cui all’articolo 4 della direttiva 95/46 si deve tenere conto del modello economico dell’operatore considerato (18). Pertanto, occorre qui tenere conto della particolarità delle imprese che operano esclusivamente tramite Internet, il cui modello economico relativizza la nozione di organizzazione permanente, condizionando anche l’intensità dei mezzi umani e materiali. Infatti, in determinate circostanze, un operatore con una presenza duratura, dotato di poco più di un computer portatile, può costituire una struttura sufficiente per esercitare un’attività effettiva, reale e con un grado sufficiente di stabilità. Alla luce di tali considerazioni, per valutare tali mezzi umani e tecnici occorre esaminare con attenzione le caratteristiche delle imprese che offrono servizi tramite Internet, tenendo conto delle peculiarità delle situazioni concrete.

35. Infatti, la particolarità delle attività economiche esercitate tramite Internet è già stata presa in considerazione per determinare il contenuto della nozione di stabilimento in altri strumenti di diritto dell’Unione. Segnatamente, la direttiva sul commercio elettronico (19) enuncia al considerando 19 che «(…) [i]l luogo di stabilimento, per le società che forniscono servizi tramite siti Internet, non è là dove si trova la tecnologia di supporto del sito né là dove esso è accessibile, bensì il luogo in cui tali società esercitano la loro attività economica». Tale definizione è stata ritenuta pertinente dal Gruppo articolo 29 al fine di interpretare l’articolo 4 della direttiva 95/46 (20).

36. Alla luce di tali considerazioni, si può concludere che, fermo restando che la Weltimmo è una società formalmente registrata in Slovacchia, non si può escludere che detta società eserciti effettivamente e realmente le sue attività nel territorio di un altro Stato, nella fattispecie l’Ungheria, attraverso un’organizzazione stabile, che può essere costituita da un unico operatore. Se così fosse, la Weltimmo disporrebbe di uno stabilimento in Ungheria, ai sensi dell’articolo 4, paragrafo 1, lettera a), della direttiva 95/46.

37. A tale proposito, i vari fattori supplementari indicati dalla Kúria nelle sue questioni pregiudiziali – il luogo in cui sono stati caricati i dati, lo Stato membro al quale sono rivolti i servizi, la nazionalità degli interessati o il luogo in cui risiedono i titolari dell’impresa – non hanno un’incidenza diretta e decisiva sull’individuazione della legge applicabile (21). Infatti, tali elementi non figurano nella direttiva in quanto criteri pertinenti che consentano di discostarsi dal criterio di cui all’articolo 4, paragrafo 1, lettera a) (22).

38. Ciononostante, alcuni di tali fattori potrebbero costituire, in determinate circostanze, un indizio del carattere reale ed effettivo dell’attività – al fine di determinare il luogo di stabilimento – e, in particolare, per stabilire se il trattamento dei dati abbia avuto luogo nell’ambito delle operazioni di uno stabilimento del responsabile del trattamento.

39. In particolare, per quanto riguarda il secondo dei suddetti elementi – il fatto che il trattamento dei dati venga effettuato nell’ambito delle attività dello stabilimento situato in uno Stato membro –, occorre fare riferimento all’interpretazione espressa dalla sentenza Google Spain e Google (23). Conformemente a tale sentenza, l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 «non esige che il trattamento di dati personali in questione venga effettuato “dallo” stesso stabilimento interessato, bensì soltanto che venga effettuato “nel contesto delle attività” di quest’ultimo» (24). La Corte ha poi osservato che, visto l’obiettivo della direttiva, «l’espressione suddetta non può ricevere un’interpretazione restrittiva» (25).

40. L’applicazione di questo secondo criterio sarebbe particolarmente rilevante nel caso in cui il giudice del rinvio ritenesse che la Weltimmo sia stabilita – conformemente ai criteri sopra indicati – nei due Stati membri in questione. In tal caso, come sottolineano il governo slovacco e la Commissione nelle loro osservazioni scritte, occorrerebbe fare riferimento precisamente alle attività nel cui ambito è stato effettuato il trattamento e, in particolare, al loro grado di collegamento con uno specifico stabilimento (26). Inoltre, altri elementi determinanti sotto questo profilo sono stati evidenziati dal Gruppo articolo 29 in relazione ai motori di ricerca. Per stabilire se le attività si collochino nel contesto dello stabilimento possono assumere rilevanza: il fatto che lo stabilimento sia responsabile delle relazioni con gli utenti, che esso partecipi alla vendita di pubblicità mirata agli abitanti dello Stato in questione, o che risponda dinanzi alle autorità competenti di uno Stato membro riguardo ai dati degli utenti (27).

41. In definitiva, per stabilire nel caso di specie se il diritto ungherese sia applicabile alle attività esercitate dalla Weltimmo in Ungheria, si dovrebbe accertare se detta società disponga di uno stabilimento in tale Stato membro, nell’ambito delle cui attività sia stato effettuato il trattamento dei dati controverso. A tal fine, occorrerebbe stabilire se l’operatore cui fa riferimento la decisione di rinvio disponga di un’organizzazione stabile, indipendentemente dalla sua forma giuridica, attraverso la quale esso eserciti effettivamente e realmente un’attività nel cui ambito è stato effettuato il trattamento di dati controverso.

42. In conclusione, ritengo che si debba rispondere congiuntamente alle questioni dalla prima alla sesta della Kúria nel senso che l’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 osta a che l’Autorità ungherese per la protezione dei dati possa applicare la legge ungherese ad un responsabile del trattamento dei dati stabilito esclusivamente in un altro Stato membro. A tal riguardo, la nozione di stabilimento deve essere intesa come l’esistenza di un’organizzazione stabile, indipendentemente dalla sua forma giuridica, attraverso la quale si realizza l’esercizio effettivo e reale di un’attività. Un unico operatore può essere considerato come un’organizzazione stabile se presenta un grado di stabilità sufficiente attraverso la presenza dei mezzi umani e tecnici necessari per la prestazione dei servizi concreti di cui trattasi.

Altri elementi, quali il luogo in cui vengono caricati i dati, la cittadinanza degli interessati, il domicilio dei titolari dell’impresa responsabile del trattamento dei dati o il fatto che il servizio prestato da detto responsabile sia rivolto al territorio di un altro Stato membro, non hanno un’incidenza diretta e decisiva sull’individuazione della legge applicabile, a prescindere dalla circostanza che possano costituire indizi del carattere reale ed effettivo dell’attività – al fine di determinare il luogo di stabilimento – né, in particolare, sulla questione se il trattamento dei dati abbia avuto luogo nell’ambito delle operazioni di detto stabilimento.

B – Sull’autorità di controllo competente e l’eventuale dissociazione tra la legge applicabile e l’autorità competente (settima questione pregiudiziale)

43. Con la settima questione pregiudiziale, la Kúria chiede alla Corte, «[q]ualora dalle risposte alle questioni precedenti emerga che l’Autorità ungherese per la protezione dei dati possa svolgere un procedimento ma non possa applicare il diritto nazionale, dovendo attenersi a quello dello Stato membro di stabilimento, se l’articolo 28, paragrafo 6, della direttiva sulla protezione dei dati debba essere interpretato nel senso che l’Autorità ungherese per la protezione dei dati può esercitare i poteri di cui all’articolo 28, paragrafo 3, della citata direttiva solo conformemente alla normativa dello Stato membro di stabilimento e che, pertanto, non può imporre un’ammenda».

44. Come si vede, tale questione pregiudiziale sarebbe determinante solo nel caso in cui il giudice del rinvio ritenesse che, conformemente ai criteri sopra enunciati, la Weltimmo non disponga di uno stabilimento in Ungheria, ma sia stabilita esclusivamente in Slovacchia. Per poter fornire una risposta utile a tale questione pregiudiziale occorre quindi esaminare preliminarmente – dato che non risulta espressamente dalla risposta alle questioni precedenti – se un’autorità di controllo di uno Stato membro possa intervenire anche quando, secondo i criteri di cui all’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, risulti applicabile il diritto di un altro Stato membro. In caso di risposta affermativa a tale questione, occorrerebbe poi determinare l’estensione e il contenuto delle competenze di detta autorità.

45. In via preliminare si pone quindi la questione se l’articolo 4, relativo alla legge applicabile, costituisca, oltre che una clausola per la determinazione della legge applicabile, anche una clausola sulla giurisdizione e, in caso affermativo, quale incidenza abbiano le precisazioni fornite dall’articolo 28 sulla competenza delle autorità pubbliche, il tutto nel contesto di una riforma di ampia portata del diritto dell’Unione in materia di protezione dei dati (28).

46. Le osservazioni presentate dinanzi alla Corte propongono interpretazioni diverse dell’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46. Infatti, l’Autorità ungherese per la protezione dei dati sostiene che sarebbe competente ad imporre una sanzione pecuniaria anche nel caso in cui fosse applicabile la legge di un altro Stato membro. Nello stesso senso si esprime anche il governo ungherese, secondo cui sarebbe evidente che lo status delle competenze delle autorità di controllo enunciate all’articolo 28, paragrafo 3, della direttiva 95/46 e le procedure da seguire per il loro esercizio siano ancora disciplinati dal diritto nazionale dello Stato in cui dette autorità hanno sede e che le sanzioni debbano quindi essere irrogate conformemente al loro diritto nazionale.

47. La Commissione, dal canto suo, ritiene che le autorità di controllo di uno Stato membro abbiano il diritto di esercitare le competenze elencate all’articolo 28, paragrafo 3, della direttiva 95/46 nella misura in cui possono esercitarle sul loro territorio, conformemente all’articolo 28, paragrafi 1 e 6. Per contro, se una competenza potesse essere esercitata solo nel territorio di un altro Stato membro, l’autorità in questione non avrebbe altra scelta se non chiedere la collaborazione amministrativa dell’autorità di controllo di detto Stato membro. Pertanto, l’autorità del primo Stato membro non potrebbe infliggere una sanzione a un responsabile del trattamento stabilito esclusivamente in un altro Stato membro. Nello stesso senso, il governo slovacco osserva che, se fosse applicabile il diritto slovacco, l’Autorità ungherese per la protezione dei dati sarebbe competente, in forza dell’articolo 28, paragrafi 3 e 6, a svolgere un’indagine e ad esaminare i reclami proposti dinanzi ad essa, in base alle proprie norme di procedura, ma dovrebbe chiedere la collaborazione dell’autorità dello Stato membro la cui legge è applicabile, poiché spetterebbe a tale autorità di controllo pronunciarsi sull’eventuale irrogazione di una sanzione. Il governo polacco sottolinea che la direttiva 95/46 non contempla la possibilità che le autorità di uno Stato membro applichino il diritto sostanziale di un altro Stato membro e sostiene che, se il legislatore avesse inteso prevedere tale ambiziosa possibilità, essa sarebbe regolamentata da disposizioni precise che ne definirebbero l’ambito di applicazione. Infine, il governo del Regno Unito ritiene che, essendo applicabile il diritto slovacco, l’Autorità ungherese per la protezione dei dati non sia competente.

48. Alla luce di quanto precede, colpiscono le divergenze tra le posizioni espresse nelle osservazioni presentate, tra cui solo quelle del Regno Unito e della Polonia sembrano riconoscere un’assoluta necessità di coerenza tra il diritto applicabile e la competenza dell’autorità di controllo, di modo che la determinazione del diritto applicabile conformemente all’articolo 4, paragrafo 1, lettera b), della direttiva 95/46 determinerebbe anche l’autorità di controllo competente (29).

49. Come mi accingo ad esporre, ritengo che la complessa questione in esame vada risolta tentando di conciliare gli obiettivi specifici della direttiva 95/46 con i principi che disciplinano l’azione delle autorità amministrative di controllo.

50. Alla base della problematica sollevata da tale questione pregiudiziale vi è un’importante questione di fondo, ossia se si possa ammettere che la direttiva attenui o addirittura annulli l’efficacia della regola secondo cui le autorità amministrative di uno Stato, in linea di principio, applicano il loro diritto nazionale e operano conformemente ad esso. Infatti, per quanto riguarda la competenza delle pubbliche autorità, e trattandosi quindi dell’esercizio di poteri di diritto pubblico, in particolare dello ius puniendi, occorre partire dalle esigenze derivanti dalla sovranità territoriale dello Stato (30), dal principio di legalità e in definitiva dalla nozione di Stato di diritto (31), che obbligherebbero a far coincidere la competenza dell’autorità di controllo con la legge applicabile (32). A tale proposito, l’esercizio del potere sanzionatorio – che è quello preso specificamente in esame nella presente causa – non può avere luogo, in linea di principio, al di fuori dei limiti legali entro cui un’autorità amministrativa è autorizzata ad agire secondo il suo diritto nazionale (33). Qualsiasi scostamento da tale regola sembra richiedere, quanto meno, uno specifico fondamento normativo che autorizzi e delimiti l’applicazione del diritto pubblico di un altro Stato membro, e che renda inoltre possibile, in modo chiaro e preciso, per i soggetti di diritto prevedere a quale legge siano soggette le loro azioni, e con quali conseguenze (34).

51. Coerentemente con quanto rilevato nei paragrafi precedenti, ritengo che l’articolo 28, paragrafo 6, primo periodo, il cui testo enuncia che «[c]iascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3», non sia una disposizione sufficiente a determinare una conseguenza così importante (35). Infatti, detta disposizione non contiene alcuna precisazione quanto ad ambito di applicazione, portata e garanzie che possa rendere possibile l’applicazione da parte delle autorità amministrative di uno Stato membro delle disposizioni – segnatamente in materia di sanzioni – di un altro Stato membro.

52. Nemmeno l’articolo 28, paragrafo 1, della direttiva 95/46 costituisce, a mio parere, un fondamento normativo sufficiente a giustificare tale conclusione in base alla mera circostanza, fatta valere dal governo ungherese e dall’Autorità ungherese per la protezione dei dati, che detta disposizione utilizza il plurale laddove stabilisce che «[o]gni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri» (36).

53. Ciononostante, da tali disposizioni risulta che può venirsi a creare una certa dissociazione tra l’autorità competente e il diritto applicabile. In ogni caso, le disposizioni in parola prevedono che l’autorità di uno Stato membro possa sorvegliare le attività esercitate nel suo territorio anche quando sia applicabile la legge di un altro Stato membro.

54. Giunti a questo punto, ritengo che l’interpretazione dell’articolo 28, paragrafi 1, 3 e 6, possa essere conciliata con i principi fondamentali che disciplinano l’esercizio del potere sanzionatorio amministrativo. Ciò risulta più agevole se si considera la prima frase dell’articolo 28, paragrafo 6, primo comma, congiuntamente alla seconda frase del medesimo comma – secondo cui l’autorità che esercita i poteri nel territorio del suo Stato membro «può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro» – e al secondo comma dello stesso articolo, a norma del quale «[l]e autorità di controllo collaborano tra loro nella misura necessaria allo svolgimento dei propri compiti (…)».

55. A tale proposito, le possibilità di azione offerte dall’articolo 28, paragrafo 6, alle autorità di controllo anche quando non risulti applicabile il diritto del loro Stato membro deve formare oggetto di un’interpretazione sistematica che tenga conto sia dell’esistenza di un obbligo chiaro di cooperazione tra autorità amministrative, sia del fatto che un’autorità può essere invitata ad esercitare i suoi poteri da un’altra autorità. Dall’esame complessivo di tale disposizione emerge infatti una ripartizione dei compiti tra le diverse autorità di controllo, in un contesto di cooperazione e reciproca assistenza.

56. Il fatto che risulti applicabile la legge di uno Stato membro non priva le autorità di controllo di altri Stati membri delle loro possibilità d’azione, specialmente se si considera che, in talune circostanze, sebbene in base al criterio di cui all’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 risulti applicabile il diritto di un altro Stato membro, possono sussistere molti altri fattori di collegamento con il territorio, quali i mezzi tecnici o, in particolare, le persone interessate dal trattamento dei dati. Ciò renderebbe necessario, ai fini dell’efficace applicazione della direttiva, che l’autorità locale possa svolgere indagini e adottare determinati provvedimenti, anche prima che sia stato individuato il diritto applicabile.

57. Detto più esplicitamente, un’autorità di controllo alla quale venga chiesto di intervenire con un reclamo o una domanda individuale presentata dinanzi ad essa deve potersi avvalere dei suoi poteri di indagine nel proprio territorio. Ciò appare indubbio alla luce dell’articolo 28, paragrafo 4, della direttiva 95/46, secondo cui l’autorità di controllo è tenuta ad esaminare le domande di qualsiasi persona relative alla tutela dei suoi diritti e libertà con riguardo al trattamento di dati personali. Tale valutazione è inoltre conforme alle disposizioni della Convenzione 108 del Consiglio d’Europa del 1981 sulla protezione delle persone per quanto riguarda l’elaborazione automatica dei dati a carattere personale (37), il cui articolo 14 prevede che, se una persona risiede sul territorio di un’altra Parte contraente, «essa deve avere la facoltà di presentare la sua richiesta per il tramite dell’autorità designata da tale Parte».

58. Tale impostazione potrebbe già fornire una risposta sufficiente alla preoccupazione manifestata all’udienza dal governo ungherese, secondo cui, supponendo che l’Autorità ungherese per la protezione dei dati non sia competente, l’efficacia dei rimedi previsti dalla direttiva 95/46 verrebbe compromessa se gli interessati fossero costretti a rivolgersi ad autorità straniere in lingue che non conoscono.

59. In definitiva, le autorità di controllo, a prescindere dal diritto sostanziale applicabile nel caso specifico, dispongono dei poteri investigativi e di intervento menzionati all’articolo 28, paragrafo 3, della direttiva 95/46 ma disciplinati esclusivamente dal loro diritto nazionale, nel rispettivo campo di azione territoriale (38), e in considerazione del rispetto dei principi ricordati al paragrafo 50 delle presenti conclusioni.

60. È quindi evidente che il potere di azione di cui dispone l’autorità di controllo di uno Stato membro quando risulta applicabile la legge sostanziale di un altro Stato membro non è illimitato. A tale proposito, si deve rilevare che è sempre valido il principio secondo cui, nell’esercizio dei suoi poteri, l’autorità di controllo è vincolata ai limiti che le sono imposti dalla sua qualità di ente di diritto pubblico soggetto alla legge del suo Stato membro, e può valersi delle sue competenze esclusivamente nel proprio territorio. In particolare, l’eventuale accertamento di una violazione del diritto e l’altrettanto eventuale imposizione di sanzioni per le infrazioni risultanti dall’illiceità del trattamento dei dati spettano inevitabilmente all’autorità dello Stato membro il cui diritto sostanziale è applicabile a detto trattamento, conformemente al criterio di cui all’articolo 4, paragrafo 1, lettera a), della direttiva 95/46.

61. Pertanto, benché nulla osti a che il potere di imporre sanzioni possa essere considerato uno dei poteri cui fa riferimento l’articolo 28, paragrafo 3, della direttiva 95/46 (il cui terzo trattino menziona il «potere di promuovere azioni giudiziarie in caso di violazione» delle autorità di controllo), tenuto conto dell’obbligo di cooperazione sancito dall’articolo 28, paragrafo 6, della direttiva 95/46, occorrerà chiedere all’autorità dello Stato membro la cui legge è applicabile al trattamento dei dati di procedere all’eventuale accertamento della violazione in conformità con la medesima legge nonché all’eventuale imposizione di sanzioni, sulla base delle informazioni raccolte, e se del caso trasmesse, dall’autorità del primo Stato membro.

62. Tale interpretazione non contrasta con la posizione espressa in vari atti del Gruppo articolo 29. In primo luogo, come rilevato nel suo parere n. 8/2010 sul diritto applicabile, lo scopo dell’articolo 28, paragrafo 6, è per l’appunto «colmare il possibile divario fra la legge applicabile e le competenze di controllo nel settore della protezione dei dati nel mercato interno» (39). A tal riguardo, detto parere, pur enunciando espressamente che «(…) quando è applicabile la legge sulla protezione dei dati di un altro Stato membro, l’autorità di controllo potrà esercitare a pieno titolo sul suo territorio tutti i poteri attribuitile dal proprio ordinamento giuridico nazionale», esprime anche seri dubbi circa l’estensione delle competenze delle autorità di controllo in tale ambito (40). Infatti, nel contesto di successive riflessioni il Gruppo articolo 29 ha precisato, su richiesta della Commissione, la propria posizione riguardo alla dissociazione tra diritto applicabile e competenza nel suo parere relativo all’attuazione pratica dell’articolo 28, paragrafo 6 (41). Il Gruppo conclude che, in una situazione di fatto caratterizzata da tale dissociazione, l’autorità deve applicare le disposizioni procedurali e amministrative del suo ordinamento giuridico, mentre gli aspetti sostanziali della protezione dei dati rientrano nella competenza dello Stato membro la cui legge è applicabile (42).

63. Le precedenti considerazioni si collocano in un contesto giuridico particolare, nel quale lo strumento di intervento del diritto dell’Unione è una direttiva, il che ha consentito che permanesse una distanza considerevole tra le legislazioni degli Stati membri per quanto riguarda in particolare la regolamentazione e i poteri sanzionatori delle autorità di controllo (43). Pertanto, le esigenze dei principi di sovranità territoriale e di legalità, in mancanza di un fondamento normativo chiaro e di garanzie che assicurino la stretta cooperazione nell’interpretazione delle violazioni e l’equivalenza delle sanzioni (44), sarebbero difficilmente conciliabili con la possibilità che la dissociazione tra autorità competente e diritto applicabile conduca all’imposizione di sanzioni conformemente al diritto dello Stato dell’autorità di controllo locale – che possono non essere contemplate dall’ordinamento giuridico dello Stato la lui legge risulta applicabile al trattamento dei dati – o all’applicazione da parte di un’autorità locale del regime sanzionatorio di un altro Stato membro.

64. Infine, non induce a una conclusione diversa l’applicazione analogica della sentenza della Corte nella causa UPC DTH (45), invocata dal governo ungherese e dall’Autorità di controllo ungherese per giustificare la competenza di quest’ultima ad imporre sanzioni nel caso in esame. In detta sentenza, relativa all’interpretazione di taluni strumenti del quadro normativo sulle comunicazioni elettroniche (46), la Corte ha dichiarato che «i procedimenti di vigilanza relativi ai servizi di comunicazione elettronica (…) rientrano nella competenza delle autorità dello Stato membro di residenza dei destinatari dei servizi medesimi» (47).

65. In risposta a detto argomento, è sufficiente osservare che, a prescindere dal fatto che detta interpretazione si riferisce a una situazione di libera prestazione di servizi ed è circoscritta ad un quadro giuridico i cui obiettivi e la cui struttura sono molto diversi da quelli ora in esame, rileva soprattutto il fatto che quelle considerazioni riguardano una fattispecie nella quale non era in discussione il diritto applicabile (48).

66. Per tutte queste ragioni ritengo che, allo stato attuale del diritto dell’Unione, si debba rispondere nei termini seguenti alla settima questione pregiudiziale proposta dalla Kúria:

Qualora il giudice nazionale accerti, in base al criterio stabilito dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, l’inapplicabilità del suo diritto nazionale, l’articolo 28, paragrafo 6, della medesima direttiva deve essere interpretato nel senso che spetta all’autorità di controllo dello Stato membro il cui diritto è applicabile sanzionare le infrazioni relative al trattamento dei dati, indipendentemente dal fatto che l’autorità di controllo locale possa esercitare tutti i poteri elencati all’articolo 28, paragrafo 3, nel suo territorio e secondo le modalità definite dal suo diritto nazionale.

C – Sulla nozione di «trattamento» dei dati (ottava questione pregiudiziale)

67. Con l’ottava questione pregiudiziale, il giudice del rinvio chiede alla Corte quanto segue: «Se si possa ritenere che la nozione di “adatfeldolgozás” [elaborazione dei dati], utilizzata sia nell’articolo 4, paragrafo 1, lettera a), sia nell’articolo 28, paragrafo 6, della [versione ungherese della] direttiva sulla protezione dei dati sia identica alla nozione di “adatkezelés” [trattamento dei dati], impiegata nella terminologia di detta direttiva».

68. Tutte le osservazioni presentate alla Corte concordano nel concludere per l’irrilevanza della differenza terminologica evidenziata dalla decisione di rinvio.

69. La direttiva 95/46 utilizza sistematicamente nelle sue disposizioni soltanto il termine «[adat]feldolgozás» per riferirsi alla nozione di trattamento di dati, quale definita al suo articolo 2, lettera b). Solo nella legge informazioni appare la distinzione tra la nozione di «adatkezelés» e quella di «adatfeldolgozás» (49), termine quest’ultimo che viene definito come «l’esecuzione di compiti tecnici in relazione alle operazioni di trattamento dei dati (…)» (50).

70. Orbene, la definizione della nozione di «[adat]feldolgozás» contenuta nell’articolo 2, lettera b), della direttiva 95/46, e impiegata sia nell’articolo 4, paragrafo 1, lettera a), che nell’articolo 28, paragrafo 6, della stessa, è molto ampia ed include qualsiasi operazione su dati personali, compiuta con o senza l’ausilio di processi automatizzati. Pertanto, tale nozione ampia di trattamento comprenderebbe la nozione più limitata dell’esecuzione di compiti tecnici in relazione alle operazioni di trattamento dei dati.

71. Per tale motivo propongo alla Corte di rispondere come segue all’ottava questione pregiudiziale:

La nozione di «adatfeldolgozás» di cui agli articoli 4, paragrafo 1, lettera a), e 28, paragrafo 6, della versione ungherese della direttiva 95/46 deve essere interpretata nel senso che include sia il trattamento di dati in senso ampio, sia l’esecuzione di compiti tecnici in relazione alle operazioni di trattamento dei dati.

V – Conclusione

72. In considerazione di quanto sopra esposto, propongo alla Corte di rispondere come segue alle questioni sollevate dalla Kúria:

«1) L’articolo 4, paragrafo 1, lettera a), della direttiva 95/46 osta a che l’Autorità ungherese per la protezione dei dati possa applicare la legge ungherese ad un responsabile del trattamento dei dati stabilito esclusivamente in un altro Stato membro. A tal scopo, la nozione di stabilimento deve essere intesa come l’esistenza di un’organizzazione stabile, indipendentemente dalla sua forma giuridica, attraverso la quale si realizza l’esercizio effettivo e reale di un’attività. Un unico operatore può essere considerato come un’organizzazione stabile se presenta un grado di stabilità sufficiente attraverso la presenza dei mezzi umani e tecnici necessari per la prestazione dei servizi concreti di cui trattasi.

Altri elementi, quali il luogo in cui sono stati caricati i dati, la cittadinanza degli interessati, il domicilio dei titolari dell’impresa responsabile del trattamento dei dati o il fatto che il servizio prestato da detto responsabile sia rivolto al territorio di un altro Stato membro, non hanno un’incidenza diretta e decisiva sull’individuazione della legge applicabile, a prescindere dalla circostanza che possano costituire indizi del carattere reale ed effettivo dell’attività – al fine di determinare il luogo di stabilimento – né, in particolare, sulla questione se il trattamento dei dati abbia avuto luogo nell’ambito delle operazioni di detto stabilimento.

2) Qualora il giudice nazionale accerti, in base al criterio stabilito dall’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, l’inapplicabilità del suo diritto nazionale, l’articolo 28, paragrafo 6, della medesima direttiva deve essere interpretato nel senso che spetta all’autorità di controllo dello Stato membro il cui diritto è applicabile sanzionare le infrazioni relative al trattamento dei dati, indipendentemente dal fatto che l’autorità di controllo locale possa esercitare tutti i poteri elencati all’articolo 28, paragrafo 3, nel suo territorio e secondo le modalità definite dal suo diritto nazionale.

3) La nozione di “adatfeldolgozás” di cui agli articoli 4, paragrafo 1, lettera a), e 28, paragrafo 6, della versione ungherese della direttiva 95/46 deve essere interpretata nel senso che include sia il trattamento di dati in senso ampio, sia l’esecuzione di compiti tecnici in relazione alle operazioni di trattamento dei dati».

1 — Lingua originale: lo spagnolo.

2 – Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995 (GU L 281, pag. 31).

3 – C‑131/12, EU:C:2014:317.

4 – V., per tutti, Rigaux, F., «La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel», Revue critique de droit international privé, 1980, pagg. 443‑478.

5 – Bygrave, L., «Determining applicable law pursuant to European Data Protection Legislation», Computer Law and Security Report, n. 16, 2000, pag. 252.

6 – Nota irrilevante per la versione italiana.

7 – C‑131/12, EU:C:2014:317.

8 – C‑131/12, EU:C:2014:317, punti da 48 a 50.

9 – V. sentenze Factortame e a., C‑221/89, EU:C:1991:320, punto 20, e Commissione/Regno Unito, C‑246/89, EU:C:1991:375, punto 21.

10 – Sentenza Cadbury Schweppes e Cadbury Schweppes Overseas, C‑196/04, EU:C:2006:544, punto 54.

11 – Parere n. 8/2010 sul diritto applicabile, adottato il 16 dicembre 2010, 0836‑02/10/IT, WP 179.

12 – Infatti, detto parere richiama le sentenze Berkholz, 168/84, EU:C:1985:299, punto 18, e Lease Plan, C‑390/96, EU:C:1998:206, che vertevano sull’interpretazione dell’articolo 9, paragrafo 1, della sesta direttiva 77/388/CEE del Consiglio, del 17 maggio 1977, in materia di armonizzazione delle legislazioni degli Stati membri relative alle imposte sulla cifra di affari ‑ Sistema comune di imposta sul valore aggiunto: base imponibile uniforme (GU L 145, pag. 1).

13 – Sentenza Welmory, C‑605/12, EU:C:2014:2298, punto 58, in relazione all’interpretazione dell’articolo 44 della direttiva 2006/112/CE del Consiglio, del 28 novembre 2006, relativa al sistema comune d’imposta sul valore aggiunto (GU L 347, pag. 1), come modificata dalla direttiva 2008/8/CE del Consiglio, del 12 febbraio 2008 (GU L 44, pag. 11). V. anche sentenza Planzer Luxembourg, C‑73/06, EU:C:2007:397, punto 54 e giurisprudenza ivi citata.

14 – Convenzione sulla legge applicabile alle obbligazioni contrattuali, aperta alla firma a Roma il 19 giugno 1980 (GU L 266, pag. 1).

15 – Convenzione di Bruxelles, del 27 settembre 1968, concernente la competenza giurisdizionale e l’esecuzione delle decisioni in materia civile e commerciale (GU 1972, L 299, pag. 32; testo consolidato in GU 1998, C 27, pag. 1).

16 – È stato rilevato che «il concetto di succursale, di agenzia o di qualsiasi altra filiale implica un centro operativo che si manifesti in modo duraturo verso l’esterno come un’estensione della casa madre, provvisto di direzione e materialmente attrezzato in modo da poter trattare affari con terzi (…)» (sentenze Somafer, 33/78, EU:C:1978:205, punto 12, e Blanckaert & Willems, 139/80, EU:C:1981:70, punto 11), e si è insistito sul fatto che «il termine “sede” riguarda qualsiasi struttura stabile di un’impresa. Di conseguenza, non soltanto le filiali e le succursali ma anche altre unità, quali gli uffici di un’impresa, potrebbero costituire sedi, ai sensi dell’[articolo] 6, [paragrafo] 2, [lettera] b), della Convenzione di Roma, anche se non dotate di personalità giuridica» (sentenza Voogsgeerd, C‑384/10, EU:C:2011:842, punto 54).

17 – Parere n. 8/2010, pag. 14.

18 – C‑131/12, EU:C:2013:424, paragrafo 65.

19 – Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno (GU L 178, pag. 1).

20 – V. documento di lavoro sulla determinazione dell’applicazione internazionale della normativa comunitaria in materia di tutela dei dati al trattamento dei dati personali su Internet da parte di siti Web non stabiliti nell’UE, WP 56, 5035/01/IT/def., del 30 maggio 2002, pag. 8.

21 – Le osservazioni presentate dinanzi alla Corte esprimono posizioni diverse riguardo alla rilevanza di tali fattori. Mentre l’Autorità ungherese per la protezione dei dati ritiene che essi siano pertinenti, il Regno Unito è del parere che nessuno dei fattori in questione sia rilevante, in quanto l’articolo 4, paragrafo 1, della direttiva 95/46 non li menziona. In termini analoghi si è espressa la Commissione europea. Secondo il governo ungherese, sarebbero pertinenti solo il fatto che i servizi siano rivolti al territorio di uno Stato membro nonché il luogo in cui i dati sono stati caricati nel sistema informatico. Il governo slovacco ritiene che non siano pertinenti per stabilire il diritto nazionale applicabile né il luogo da cui vengono trasmessi i dati, né la nazionalità degli interessati, né la residenza dei titolari dell’impresa.

22 – In tal senso si pronuncia anche il Gruppo articolo 29, secondo cui «[n]on sono decisivi [al fine di determinare il diritto applicabile] la cittadinanza o il luogo di residenza abituale dell’interessato né l’ubicazione fisica dei dati personali». Parere n. 8/2010, pag. 10. V. anche le conclusioni dell’avvocato generale Jääskinen nella causa Google Spain e Google, C‑131/12, EU:C:2013:424.

23 – C‑131/12, EU:C:2014:317, punti da 48 a 50.

24 – Ibidem, punto 52.

25 – Ibidem, punto 53.

26 – Su tale elemento v. anche parere n. 8/2010 del Gruppo articolo 29.

27 – Parere n. 1/2008 sugli aspetti della protezione dei dati connessi ai motori di ricerca, del 4 aprile 2008, WP 148, 00737/IT.

28 – Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, COM (2012) 11 definitivo.

29 – Peraltro, la dottrina è divisa su tale punto. Alcuni autori considerano l’articolo 4 della direttiva 95/46 come la norma che determina anche la competenza (ad esempio Bing, J., «Data Protection, Jurisdiction and the Choice of Law», Privacy Law & Policy Reporter, 1999), mentre altri sostengono la tesi opposta. V., ad esempio, Swire, P.P., «Of Elephants, Mice and Privacy: International Choice of Law and the Internet», The International Lawyer, 1998, pag. 991. Su tale discussione v. anche Kuner, C., «Data Protection Law and International Jurisdiction on the Internet (Part 1)», International Journal of Law and Information Technology, n. 18, 2010, pag. 176.

30 – Il considerando 21 della direttiva enuncia espressamente che essa «lascia impregiudicate le norme di territorialità applicabili in materia penale». Ritengo che possa dirsi lo stesso per le sanzioni amministrative.

31 – Il cui nucleo fondamentale può essere definito nel senso che tutte le autorità pubbliche, a tutti i livelli, «must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers», Lord Bingham, «The Rule of Law», The Cambridge Law Journal, n. 66, 2007, pag. 78.

32 – La dottrina ha rilevato che, «per effetto del carattere sostanzialmente amministrativo o pubblicistico del sistema di controllo, esiste una stretta correlazione tra la legge applicabile e l’autorità competente a sanzionare eventuali infrazioni», de Miguel Asensio, P.A., Derecho Privado de Internet, 4ª ed., Madrid, 2011, pag. 333. La dottrina si è espressa nello stesso senso riguardo alle competenze delle autorità di controllo in materia di concorrenza, osservando che, nell’ambito dell’azione pubblica, l’applicabilità della norma determina la competenza dell’autorità che deve applicarla. V., ad esempio, Basedow, J., «Antitrust or Competition Law, International», in Wolfrum, R. (ed.), Max Planck Encyclopedia of Public International Law, 2009.

33 – In tal senso, v. Rigaux: «On ne conçoit guère que les autorités administratives, les commissions de contrôle (…) les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori», op. cit., pag. 469.

34 – Ohler, C., Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, pag. 109, in particolare pag. 314.

35 – Il corsivo è mio.

36 – Il corsivo è mio. A tal riguardo, v. Damman, U., e Simitis, S., EG-Datenschutzrichtline, Nomos Verlagsgesellschaft, Baden‑Baden, 1997, pag. 306.

37 – (STE n. 108), di cui gli Stati membri sono parte. Secondo il considerando 11 della direttiva 95/46, quest’ultima precisa ed amplia la tutela offerta da detta Convenzione.

38 – Su tale questione v. Damman, U., e Simitis, S., op. cit., pag. 313.

39 – Parere n. 8/2010 sul diritto applicabile, pag. 29.

40 – Infatti, da un lato, il parere n. 8/2010 del Gruppo articolo 29 evidenzia che il contenuto della cooperazione tra le autorità di controllo, giustamente, non include solo lo scambio di informazioni, ma anche la «trattazione di denunce transfrontaliere, [la] raccolta di prove per altre autorità per la protezione dei dati, o [l’]imposizione di sanzioni» (pag. 31). Tuttavia, detto parere esprime alcuni dubbi circa l’ambito delle competenze che devono essere esercitate da ciascuna autorità per la protezione dei dati: «in particolare, in che misura l’autorità per la protezione dei dati del luogo esercita i suoi poteri in relazione all’applicazione dei principi materiali e delle sanzioni? Dovrebbe limitare l’uso dei suoi poteri alla verifica dei fatti, può adottare misure provvisorie di applicazione o persino misure definitive? Può dare la propria interpretazione delle disposizioni della legge applicabile, o è prerogativa dell’autorità per la protezione dei dati dello Stato membro la cui legge è applicabile? (…)» (pag. 30).

41 – Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011)444105, del 20 aprile 2011.

42 – Ibidem, pag. 31. A tale proposito, è molto significativo l’esempio n. 10 offerto dal parere n. 8/2010, secondo cui, in un caso ipotetico nel quale il diritto tedesco sia applicabile a un trattamento di dati effettuato nel Regno Unito, «l’autorità per la protezione dei dati del Regno Unito deve avere il potere di ispezionare i locali nel Regno Unito e di fare accertamenti, che dovranno essere trasmessi all’autorità per la protezione dei dati tedesca[. L’]autorità per la protezione dei dati tedesca dovrebbe potere imporre una sanzione al responsabile del trattamento stabilito in Germania sulla base degli accertamenti dell’autorità per la protezione dei dati del Regno Unito».

43 – Come riconosciuto dal considerando 9 della direttiva 95/46. A tale proposito si può consultare il documento elaborato dall’Agenzia dell’Unione europea per i diritti fondamentali Data Protection in the European Union: the role of National Data Protection Authorities, 2010, che fornisce una panoramica dei diversi poteri conferiti alle autorità di controllo negli Stati membri.

44 – A tal riguardo, appare indubbia la rilevanza e il carattere innovativo del diritto dell’Unione in materia di protezione dei dati nello spazio amministrativo europeo. La proposta relativa al futuro regolamento generale sulla protezione dei dati, ove venisse accolta, determinerebbe una profonda trasformazione in tale materia, specialmente per quanto riguarda l’attuazione di un sistema di cooperazione elaborato e complesso, nonché la coerenza e la ripartizione delle responsabilità tra le divere autorità di controllo.

45 – C‑475/12, EU:C:2014:285.

46 – In particolare, la direttiva 2002/20/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica (GU L 108, pag. 21), come modificata dalla direttiva 2009/140/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (direttiva «autorizzazioni») (GU L 337, pag. 37), e la direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (GU L 108, pag. 33), come modificata dalla direttiva 2009/140.

47 – Sentenza UPC DTH, C‑475/12, EU:C:2014:285, punto 88.

48 – Infatti, la sanzione imposta in quella causa era motivata dal rifiuto dell’impresa in questione di fornire informazioni all’Autorità nazionale per le telecomunicazioni. La Corte ha rilevato che, «in forza dell’articolo 11, paragrafo 1, lettera b), della direttiva autorizzazioni (…), le autorità nazionali possono chiedere alle imprese informazioni proporzionate e oggettivamente giustificate per verificare l’osservanza delle condizioni relative alla tutela dei consumatori, a seguito di denuncia o in caso di indagine di propria iniziativa» (punto 85).

49 – Nella direttiva compare solo una parola derivante dal termine «adatkezelés», in riferimento al responsabile del trattamento di dati.

50 – Articolo 3, paragrafo 17, della legge informazioni. L’articolo 3, paragrafo 10, di detta legge contiene una definizione ampia della nozione di «adatkezelés», che corrisponde, nella sostanza, alla nozione di trattamento di dati definita all’articolo 2, lettera b), della direttiva 95/46.