Trasferimento di dati personali via Internet verso paesi stranieri: interviene la Corte UE

Home page

Chi siamo

Servizi

Normativa

Sentenze

Bibliografia

Scrivici

Law Firm Italy

Studio Legale
recupero crediti - privacy - contratti - marchi - pubblicità

NewsLetter
Per ricevere gratuitamente la NewsLetter di Infogiur inserite il vostro indirizzo
e-mail:
Clicca qui

informativa privacy

Consulenza
concorsi e operazioni
Concorso a premio
Operazione a premio
Manifestazione a premio

I dati personali su siti Web non comportano automaticamente trasferimento di dati all'estero

07/11/03

La Corte di Giustizia UE è intervenuta, con la sentenza del 6 novembre 2003, nel procedimento C-101/01, per definire la nozione di trasferimento di dati personali verso paesi terzi, con riferimento alla pubblicazione degli stessi su siti Internet.
Su richiesta di un giudice di appello svedese, la Corte ha precisato che qualora l'art. 25 della direttiva 95/46 venisse interpretato nel senso che si configura un "trasferimento verso un paese terzo di dati personali" ogni volta che dati personali vengono caricati in una pagina Internet, tale trasferimento sarebbe necessariamente un trasferimento verso tutti i paesi terzi in cui esistono i mezzi tecnici necessari per accedere ad Internet. Il regime speciale previsto dal capo IV della suddetta direttiva diverrebbe quindi necessariamente, per quanto riguarda le operazioni su Internet, un regime di applicazione generale. Infatti, non appena la Commissione constatasse, ai sensi dell'art. 25, n. 4, della direttiva 95/46, che un solo paese terzo non garantisce un livello di protezione adeguato, gli Stati membri sarebbero tenuti ad impedire qualsiasi immissione in Internet di dati personali.
La Corte ha quindi disposto che non si configura un «trasferimento verso un paese terzo di dati» ai sensi dell'art. 25 della direttiva 95/46 allorché una persona che si trovi in uno Stato membro inserisce in una pagina Internet - caricata presso il suo fornitore di servizi di ospitalità («web hosting provider»), stabilito nello Stato stesso o in un altro Stato membro - dati personali, rendendoli così accessibili a chiunque si colleghi ad Internet, compresi coloro che si trovano in paesi terzi.
Questa interpretazione della Corte riteniamo debba applicarsi strettamente a quei casi di pubblicazione su Internet di dati in contesti "normali". Non si deve cioè pensare che basti pubblicare, ad es., una banca dati su un sito Web, al fine di farla scaricare da un soggetto determinato, per svincolarsi così dai limiti e dagli adempimenti necessari per il trasferimento di dati verso paesi extracomunitari. Un tal comportamento sarebbe semplicemente elusivo della norma e, a nostro parere, sanzionabile.

Il retroscena e le altre interpretazioni relative alla direttiva europea sulla privacy
La questione è sorta in Svezia, dove una signora era stata accusata, in un procedimento penale, di aver violato la normativa svedese relativa alla privacy, pubblicando nel suo sito Internet dati personali riguardanti un certo numero di persone che lavorano, come lei, in qualità di volontari in una parrocchia della Chiesa protestante di Svezia. La signora aveva creato a casa sua e con un personal computer, alcune pagine Internet allo scopo di consentire ai parrocchiani di ottenere informazioni.
Le pagine in questione contenevano informazioni sulla signora stessa e sui 18 suoi colleghi della parrocchia (nome e cognome, o solo nome). Per alcuni colleghi erano descritte anche le mansioni e le abitudini nel tempo libero, oltre alla situazione familiare, ai recapiti telefonici ed ad altre informazioni. Per una collega in particolare era stato segnalato che si trovava in congedo parziale per malattia, in quanto si era ferita ad un piede.
Dell'esistenza delle pagine la signora non aveva informato i colleghi, né aveva chiesto loro il consenso, né aveva dichiarato di averle realizzate alla Datainspektion (l'Autorità competente in Svezia).

La signora, condannata in primo grado, ha proposto appello, ed in questa fase il giudice svedese ha chiesto l'intervento interpretativo della Corte UE, in merito a diverse questioni, che ha così risposto:

- nella nozione di "dati personali" rientra certamente il nome di una persona accostato al suo recapito o ad informazioni relative alla sua situazione lavorativa o ai suoi passatempi;

- va considerata "trattamento interamente o parzialmente automatizzato" l'operazione consistente nel far comparire in una pagina Internet dati personali;

- non può considerarsi trattamento svolto esclusivamente per attività private personali (es. agenda privata - escluso dall'applicazione della normativa in questione) il trattamento comportante la pubblicazione di dati su Internet;

- l'indicazione del fatto che una persona si è ferita ad un piede e si trova in congedo parziale per malattia costituisce un dato personale relativo alla salute (quindi dato sensibile);

- non si configura un trasferimento di dati verso un paese terzo (ai sensi dell'art. 25 dir. 95/46) allorché una persona che si trovi in uno Stato membro inserisca in una pagina Internet - caricata presso il suo fornitore web hosting, stabilito nello Stato stesso o in un altro Stato membro - dati personali, rendendoli così accessibili a chiunque si colleghi ad Internet, compresi coloro che si trovano in Paesi terzi.

Documenti:
- Sentenza 6 novembre 2003 della Corte di Giustizia UE
- Conclusioni dell'avvocato generale del 19 settembre 2002