La Corte di giustizia Ue con la sentenza del 28 luglio 2016, resa nella causa C-191/15, ha affermato che l’impresa di e-commerce estera, anche non dotata di sedi fisiche in altro Stato dell’Unione, che vende al consumatore di quest’ultimo si vedrà applicata la legge nazionale del consumatore se, ad esempio, utilizza la lingua dello Stato acquirente, i prezzi in euro ecc.

Nel caso specifico, una associazione di consumatori austriaca ha sollevato la questione sull’applicabilità e l’interpretazione della direttiva europea sulla privacy 95/46/CE al fine di bloccare alcune clausole contrattuali redatte da Amazon che escludevano l’applicazione del diritto austriaco.

Secondo l’art. 4 di tale direttiva, la legislazione nazionale sulla privacy si applica al trattamento di dati personali “(…) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello stato Ue; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati dell’ Unione, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile (…)”

Nel caso di specie l’attività, consistente nel commercio elettronico, è svolta da una società senza sedi o filiali in Austria ed appartenente a un gruppo internazionale di commercio a distanza che, tra le altre attività, si rivolge, mediante un sito Internet avente un nome di dominio con estensione «.de», a consumatori residenti in Austria con i quali stipula contratti di commercio elettronico.

La risposta della Corte prescrive che ciascuno Stato Ue applichi le disposizioni nazionali adottate per l’attuazione della direttiva quando il trattamento è effettuato nell’ambito delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato Ue.

Con il termine «stabilimento» si intende anche qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione stabile. In base a questo principio, secondo la Corte di Giustizia, è ininfluente il fatto che l’impresa responsabile del trattamento dei dati non possieda né filiali né succursali in uno Stato.

Occorre invece valutare, come già rilevato dalla Corte, sia il grado di stabilità dell’organizzazione sia l’esercizio effettivo delle attività nello Stato Ue interessato.

Bisogna, dunque, verificare se il trattamento dei dati personali sia effettuato «nel contesto delle attività» dello stabilimento. Si noti che la direttiva non esige che il trattamento di dati personali in questione venga effettuato «dallo» stabilimento interessato stesso, bensì soltanto «nel contesto delle attività» di quest’ ultimo.

Sarà poi compito del giudice nazionale valutare se effettivamente l’impresa di e-commerce proceda al trattamento dei dati in esame nel contesto delle attività di uno stabilimento situato in un altro stato Ue verso il quale detta impresa dirige le proprie attività e, in tal caso, applicare il diritto di tale Stato membro.