Privacy, obblighi nazionali per le società estere

La Corte di Giustizia dell´Unione Europea (con la sentenza dello scorso 1° ottobre, nella causa C-230/14) ha ribadito il principio secondo cui uno Stato membro può applicare la propria normativa in materia di tutela dei dati personali anche ad una società straniera. Purché ovviamente essa svolga, in tale territorio e con un´organizzazione stabile, un´attività reale ed effettiva.

La "stabile organizzazione” può desumersi anche dalla presenza di un rappresentante della società all´interno dello Stato membro "ospitante” (che agisca al fine di garantire i servizi dell´ente), oltre che da ulteriori elementi fattuali, come l´esistenza di un conto corrente bancario e di una casella postale di riferimento

La direttiva europea (95/46/CE), sulla "tutela delle persone fisiche con riguardo al trattamento dei dati personali”, consente quindi ad uno Stato membro, nel cui territorio è presente la stabile organizzazione della società, di comminare direttamente le sanzioni per le violazioni commesse nel territorio stesso.

Il principio in parola si coniuga perfettamente con la previsione codicistica secondo la quale chi commette un reato nel territorio dello Stato è punito ai sensi della legge italiana. E in materia di responsabilità amministrativa degli enti, in assenza di una specifica previsione normativa, si traduce - come confermato dalla giurisprudenza - nell´applicabilità del D. Lgs. 231/2001 anche alle società straniere che, pur avendo la propria sede principale all´estero, operano in Italia tramite un distaccamento.