Con sentenza del 1° ottobre 2015 (causa C-230/14), la Corte di Giustizia dell’Unione Europea ha sancito la competenza delle Autorità garanti della Privacy dei singoli Stati membri ad emanare sanzioni nei confronti di soggetti esteri stabiliti nel territorio del relativo Stato, che abbiano commesso violazioni delle norme in materia di trattamento e circolazione dei dati personali.

Secondo quanto stabilito dalla Corte di Bruxelles, quindi, l’elemento determinante è costituito dalla configurabilità o meno, nei singoli casi di specie, dello stabilimento, ed è la Corte stessa a fornire i criteri pratici per individuarlo.

Affinché si configuri lo stabilimento è sufficiente la presenza, nel territorio dello Stato, anche di un unico rappresentante del soggetto estero, che svolga con continuità una qualsiasi attività reale ed effettiva, anche minima, quale la gestione di siti internet, il recupero di crediti, la gestione dei ricorsi amministrativi e giudiziari.

In assenza di tale presupposto, al contrario, l’Autorità nazionale non può esercitare poteri sanzionatori interni ed è tenuta a richiedere all’Autorità dello Stato cui appartiene il titolare dei trattamento incriminato di effettuare i dovuti accertamenti e comminare le eventuali sanzioni.