Vuoi ricevere i nostri aggiornamenti?
E-COMMERCE: quale legge si applica al sito internet?
In un’interessante sentenza la Corte di Giustizia chiarisce un punto fondamentale nelle pratiche commerciali di e-commerce: quale legge si applica ai siti internet?
La sentenza ha inizio da un caso pendente tra una associazione di consumatori austriaca e Amazon, finalizzata a bloccare alcune clausole contrattuali, che escludevano l'applicazione del diritto austriaco.
L'associazione dei consumatori, in particolare, ha sollevato la questione dell'interpretazione della direttiva europea sulla privacy 95/46/CE, che sarà nel maggio 2018 sostituita dal Regolamento 2016/679.
Secondo la direttiva 95/46 (articolo 4) la legislazione nazionale sulla privacy si applica al trattamento di dati personali effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello stato Ue; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati dell'Unione, esso deve adottare le misure necessarie per assicurare l'osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile.
I giudici austriaci, prima di decidere la causa, hanno rinviato alla corte di giustizia per sapere se il trattamento dei dati personali da parte di un'impresa che stipula contratti di commercio elettronico con consumatori residenti in altri Stati dell'Ue sia soggetto, ai sensi dell'articolo 4, paragrafo 1, lettera a), della direttiva 95/46, a prescindere dalla legge altrimenti applicabile, soltanto alla legge dello Stato europeo in cui si trova lo stabilimento dell'impresa nel quale avviene il trattamento, o se l'impresa sia tenuta anche all'osservanza delle disposizioni in materia di protezione dei dati degli Stati dell'Ue verso i quali dirige la propria attività commerciale.
La risposta della Corte è molto interessante.
Il ragionamento della Corte inizia dall'articolo 4, paragrafo 1, lettera a), della direttiva 95/46, nella parte in cui prescrive che ciascuno Stato Ue applica le disposizioni nazionali adottate per l'attuazione della medesima direttiva al trattamento di dati personali quando esso è effettuato nell'ambito delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato Ue.
Con il termine «stabilimento», poi si intende anche qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un'organizzazione stabile.
In base a questo principio, secondo la Corte di Giustizia, è ininfluente il fatto che l'impresa responsabile del trattamento dei dati non possieda né filiali né succursali in uno Stato. Anche se non basta a ritenere applicabile la legge dello stato di destinazione dell'attività il semplice fatto che da lì sia accessibile il sito Internet dell'impresa in questione.
Il principio da applicare, secondo la Corte, è che il trattamento di dati personali effettuato da un'impresa di commercio elettronico è disciplinato dal diritto dello Stato Ue verso il quale detta impresa dirige le proprie attività, qualora sia accertato che tale impresa procede al trattamento dei dati in esame nel contesto delle attività di uno stabilimento situato in nel diverso stato Ue. Spetta al giudice nazionale valutare se ciò si verifichi effettivamente.
In sostanza, anche senza sedi fisiche, se il contesto dell'attività è italiano (ad esempio lingua usata, prezzi in euro ecc.), si deve applicare la legge nazionale (comprese le tutele e i ricorsi al Garante della privacy).