Torniamo a parlare della legge 31 dicembre 1996, n. 675 con cui è stata data attuazione in Italia, alla direttiva 95/46/CE, in materia di privacy, per affrontare uno dei nodi fondamentali della legge in oggetto, ovvero il suo campo di applicazione.

L'art. 2 della legge 675/96 prevede che questa si applichi al trattamento di dati personali da chiunque effettuato nel territorio dello Stato e da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea.

Dal tenore letterale della norma si evince che qualunque trattamento di dati personali svolto sul territorio italiano è soggetto alla legge 675/96 e questo a prescindere dalla qualità del soggetto responsabile del trattamento e dalle caratteristiche del trattamento stesso. Se ne deve quindi dedurre che anche i trattamenti di dati personali effettuati in Italia in dipendenza di attività svolte da imprese aventi sede in un altro Stato membro in regime di libera prestazione di servizi, siano soggetti alla legge italiana in materia di privacy?

Se ci si attiene rigorosamente alla lettera della legge e alla dottrina più accreditata, si dovrebbe propendere per una risposta affermativa. Tuttavia, a ben vedere, vi sono fondate ragioni per sostenere che, al contrario, la legge 675/96 non dovrebbe applicarsi ai soggetti esteri che operano in Italia in libera prestazione di servizi.

In primo luogo, esaminiamo la direttiva 95/46, di cui la legge 675/96 è attuazione, ed in particolare l'art. 4 "Diritto nazionale applicabile" che definisce l'ambito di applicazione delle disposizioni nazionali adottate dagli Stati membri per l'attuazione della direttiva, e quindi, per noi, l'ambito di applicazione della 675/96. Dalla lettura dello stesso si evince che ciascuno Stato membro applicherà le disposizione nazionali adottate in attuazione della direttiva ai trattamenti di dati personali effettuati nel contesto delle attività di uno stabilimento del responsabile (ricordiamo che la figura del responsabile indicata nella direttiva corrisponde a quella del titolare in base alla normativa italiana) nel territorio dello Stato membro e che, qualora un responsabile sia stabilito nel territorio di più Stati membri, esso dovrà assicurare che ciascuno degli stabilimenti osservi gli obblighi previsti dal diritto nazionale applicabile.

Secondo la direttiva, quindi, gli Stati membri dovrebbero assoggettare alla propria legge nazionale i trattamenti di dati personali svolti nell'ambito di uno stabilimento del responsabile (leggi titolare) sul territorio dello Stato membro e, viceversa, riconoscere l'applicabilità della legge dello Stato di origine ai trattamenti di dati personali svolti nell'ambito di un servizio reso in regime di libera prestazione, salvo il caso in cui il responsabile (titolare) del trattamento sia stabilito in un Paese terzo.
Questa interpretazione viene confermata dalle varie leggi nazionali di attuazione della direttiva che, nel definire il proprio campo di applicazione, fanno riferimento, nella quasi totalità dei casi, al criterio dello stabilimento del responsabile (titolare) del trattamento. Inoltre, questa impostazione è conforme ad uno dei principi generalmente seguiti in materia di libera prestazione dei servizi, ovvero quello del home country rule, per cui le attività svolte in regime di libera prestazione sono soggette alla legge del Paese d'origine o di stabilimento, nonché al principio del mutuo riconoscimento.

Il criterio dello stabilimento del responsabile (titolare) del trattamento, manca, invece, del tutto nella definizione del campo di applicazione della legge 675/96, che dunque appare in contrasto con il dettato normativo della direttiva.

Il contrasto tra la normativa nazionale e la direttiva di cui essa è attuazione si acuisce ulteriormente se si considera che uno degli obiettivi che sono alla base della direttiva, come emerge dai considerando, è quello di eliminare gli ostacoli alla circolazione dei dati personali, nell'ottica di una piena realizzazione del mercato interno.

Di conseguenza, se non si vuole giungere a ravvisare nella legge 675/96 una violazione del diritto comunitario, e, in particolare, di uno dei fondamenti dell'ordinamento comunitario, occorrerebbe quantomeno, circoscrivere l'ambito di applicazione dell'art. 2, introducendo il principio dello stabilimento del rappresentante del trattamento.
A ciò si può giungere in via interpretativa, intendendo che la legge 675/96 si applica al trattamento di dati personali da chiunque effettuato nel territorio dello Stato, dove per "chiunque" si dovrebbe intendere qualunque soggetto che sia stabilito in Italia. Tale interpretazione sarebbe peraltro necessaria, in virtù dell'obbligo di interpretare la normativa nazionale "alla luce del testo e dello scopo della direttiva stessa, per attuare il risultato previsto dall'art. 189 del Trattato", pacifico nella giurisprudenza della Corte di Giustizia delle Comunità Europee.