Territorialità delle norme

Ogni legge trova applicazione all’interno del territorio dello Stato che la emana: questo è il principio di territorialità delle leggi, applicato sia nella direttiva madre sulla privacy (95/46/CE) sia nel Regolamento 2016/679 (“GDPR”) che il 25 maggio 2018 l’ha sostituita. In base a tale principio, infatti, entrambe le norme trovano applicazione nei riguardi di quei trattamenti di dati personali (di fatto, l’uso degli stessi) che sono strettamente connessi ad uno stabilimento ubicato sul territorio dell’Unione europea (principio di stabilimento).

Nonostante l’ampia interpretazione del principio di territorialità, la norma della direttiva (art. 4.1, dir. 95/46/CE) è risultata inadeguata a “catturare” sotto il proprio ombrello i nuovi fenomeni della globalizzazione e della tecnologia moderna – come quelli dell’IoT, del web 2.0, del cloud computing – accomunati dalla elisione del tradizionale legame tra attività operative e territorio geografico di riferimento.

La direttiva 95/46/CE ha rischiato di scontare un grave deficit di fiducia proprio in questi contesti e per questi limiti.[:en]The law of each Member State applies according to the “territorial criterion”: in the sense that the law of the State in whose territory the Controller has the establishment carrying out those activities in which personal data is processed (principle of establishment).

The principle of territoriality of the applicable law, substantially transposed in the Directive (Article 4.1, Directive 95/46/EC), has highlighted serious shortcomings in the system of protection of personal data in those circumstances characterized by a global approach: in particular, with regard to Internet and cloud computing.

Directive 95/46/EC could cause a serious lack of confidence in these contexts and for these limits.