3 La direttiva 95/46 – che, ai sensi del suo articolo 1, ha per oggetto la tutela dei diritti e delle libertà fondamentali delle persone fisiche, e segnatamente del diritto alla vita privata, con riguardo al trattamento dei dati personali, nonché l’eliminazione degli ostacoli alla libera circolazione di tali dati – enuncia, ai considerando 2, 10, da 18 a 20, e 25, quanto segue:
«(2) considerando che i sistemi di trattamento dei dati sono al servizio dell’uomo; che essi, indipendentemente dalla nazionalità o dalla residenza delle persone fisiche, debbono rispettare le libertà e i diritti fondamentali delle stesse, in particolare la vita privata, e debbono contribuire al (…) benessere degli individui;
(…)
(10) considerando che le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali[, firmata a Roma il 4 novembre 1950,] e dai principi generali del diritto comunitario; che pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità;
(…)
(18) considerando che, onde evitare che una persona venga privata della tutela cui ha diritto in forza della presente direttiva, è necessario che qualsiasi trattamento di dati personali effettuato nella Comunità rispetti la legislazione di uno degli Stati membri; che, a questo proposito, è opportuno assoggettare i trattamenti effettuati da una persona che opera sotto l’autorità del responsabile del trattamento stabilito in uno Stato membro alla legge di tale Stato;
(19) considerando che lo stabilimento nel territorio di uno Stato membro implica l’esercizio effettivo e reale dell’attività mediante un’organizzazione stabile; che la forma giuridica di siffatto stabilimento, si tratti di una semplice succursale o di una filiale dotata di personalità giuridica, non è il fattore determinante a questo riguardo; che quando un unico responsabile del trattamento è stabilito nel territorio di diversi Stati membri, in particolare per mezzo di filiali, esso deve assicurare, segnatamente per evitare che le disposizioni vengano eluse, che ognuno degli stabilimenti adempia gli obblighi previsti dalla legge nazionale applicabile alle attività di ciascuno di essi;
(20) considerando che la tutela delle persone prevista dalla presente direttiva non deve essere impedita dal fatto che il responsabile del trattamento sia stabilito in un paese terzo; che, in tal caso, è opportuno che i trattamenti effettuati siano disciplinati dalla legge dello Stato membro nel quale sono ubicati i mezzi utilizzati per il trattamento in oggetto e che siano prese le garanzie necessarie per consentire l’effettivo rispetto dei diritti e degli obblighi previsti dalla presente direttiva;
(…)
(25) considerando che i principi di tutela si esprimono, da un lato, nei vari obblighi a carico delle persone (…) [che trattano dati], obblighi relativi in particolare alla qualità dei dati, alla sicurezza tecnica, alla notificazione all’autorità di controllo, alle circostanze in cui il trattamento può essere effettuato, e, dall’altro, nel diritto delle persone, i cui dati sono oggetto di trattamento, di esserne informate, di poter accedere ai dati, e chiederne la rettifica, o di opporsi al trattamento in talune circostanze».
4 L’articolo 2 della direttiva 95/46 prevede che «[a]i fini [di tale] direttiva si intende per:
a) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
b) “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione;
(…)
d) “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario;
(…)».
5 L’articolo 3 della citata direttiva, intitolato «Campo d’applicazione», enuncia, al paragrafo 1, quanto segue:
«Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi».
6 L’articolo 4 della stessa direttiva, intitolato «Diritto nazionale applicabile», prevede:
«1. Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:
a) effettuato nel contesto delle attività di uno stabilimento del responsabile del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;
b) il cui responsabile non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico;
c) il cui responsabile, non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea.
2. Nella fattispecie di cui al paragrafo 1, lettera c), il responsabile del trattamento deve designare un rappresentante stabilito nel territorio di detto Stato membro, fatte salve le azioni che potrebbero essere promosse contro lo stesso responsabile del trattamento».