Il responsabile del trattamento viola la normativa privacy se non richiede al titolare del trattamento il conferimento di un incarico scritto e le relative istruzioni.
Commento a Garante per la protezione dei dati personali: Provvedimento n. 427 del 15 dicembre 2022
1. Il fatto
Un reclamante lamentava al Garante per la protezione dei dati personali che una società aveva installato un dispositivo di geolocalizzazione all’interno di un autoveicolo utilizzato dal reclamante per effettuare consegne di merce per un’altra società per cui il reclamante medesimo aveva lavorato. In particolare, sosteneva di aver scoperto all’interno del vano motore del veicolo l’esistenza di un apparecchio idoneo a localizzare la posizione geografica, che è risultato attivo almeno fino alla fine del 2020, nonostante egli non avesse precedentemente avuto conoscenza di tale installazione e nonostante egli avesse interrotto il suo rapporto di lavoro già dal maggio 2019.
Il Garante, esaminato il reclamo, aveva richiesto chiarimenti alla società proprietaria del localizzatore, la quale si era difesa sostenendo che – per quanto qui di interesse – di aver instaurato un rapporto contrattuale con la società per cui il reclamante aveva lavorato, in virtù del quale la reclamata aveva noleggiato 76 apparecchi idonei alla localizzazione geografica, fra i quali quello in questione. Detto dispositivo, in particolare, era stato installato nel febbraio 2016 e disattivato nel novembre 2020, a seguito della cessazione del contratto di noleggio tra la reclamata e l’altra società.
Nell’ambito di tale rapporto contrattuale, la reclamata aveva agito come responsabile del trattamento dei dati trattati mediante le suddette apparecchiature di geolocalizzazione, mentre il titolare del trattamento era identificabile nella società sua cliente. La reclamata sosteneva, inoltre, che tale ripartizione dei ruoli era anche stabilita in uno degli articoli delle condizioni contrattuali sottoscritte dalla cliente (presso cui il reclamante aveva lavorato). Inoltre, la reclamata faceva presente che la sua cliente non le aveva mai inviato la nomina a responsabile del trattamento. In ragione di ciò, secondo la reclamata, quest’ultima non poteva ritenersi obbligata ad imporre alla propria cliente la stipula di un atto di nomina a responsabile del trattamento.
Per quanto concerne, poi, la tipologia di dati trattati attraverso il sistema di geolocalizzazione, la società precisava che detto sistema acquisiva la localizzazione GPS del veicolo, effettuava il report sui percorsi del veicolo e la mappatura continua. Tali dati erano associati al nome del cliente, il suo indirizzo postale, il suo numero di telefono, l’indirizzo email e la partita IVA. La frequenza di localizzazione avveniva a intervalli regolari (in particolare ogni 60 secondi e trasmessa ogni 120 secondi), ma non in tempo reale e consentiva alla cliente di controllare sulla mappa la distanza percorsa da ciascun veicolo, il calcolo dei chilometri percorsi, il tempo di viaggio e la velocità media di guida. Tutti tali dati erano conservati per una durata di 12 mesi.
Potrebbero interessarti anche:
- La tutela giuridica del diritto alla privacy
- ChatGPT, intervento di Guido Scorza e questioni di privacy
2. Le valutazioni del Garante
Il Garante ha ritenuto che dall’istruttoria effettuata sia stato accertato come la reclamata abbia stipulato un contratto per la fornitura di un servizio di localizzazione di veicoli con la propria cliente, in esecuzione del quale sono stati installati e attivati ben 76 dispositivi di geolocalizzazione. Tale rapporto si è interrotto alla fine del 2020 ed ha consentito di acquisire ed elaborare dati relativi alla circolazione dei veicoli (ivi compreso quello utilizzato dal reclamante), consultabili mediante un’applicazione on line.
Secondo il Garante, il ruolo svolto dalla reclamata nelle suddette operazioni è stato quello di responsabile del trattamento, come specificato anche nel contratto stipulato tra la medesima e la propria cliente, in quanto la determinazione delle finalità e dei mezzi del trattamento spettavano alla cliente a favore della quale la reclamata svolgeva il servizio.
Dall’istruttoria è altresì emerso che la reclamata ha svolto tale ruolo di responsabile senza aver adeguatamente definito il rapporto con la propria cliente (titolare del trattamento) e in assenza di specifiche istruzioni predisposte da quest’ultimo.
Infatti, il Regolamento europeo per la protezione dei dati personali stabilisce che il titolare del trattamento può avvalersi di uno o più responsabili per lo svolgimento di alcune attività di trattamento, ma che tale rapporto deve essere disciplinato mediante un apposito atto scritto ed inoltre il titolare deve impartire specifiche istruzioni al responsabile.
In altri termini, è necessario che il rapporto tra titolare del trattamento e responsabile sia disciplinato mediante un contratto o un altro atto giuridico e che il primo fornisca al secondo delle indicazioni sulle caratteristiche principali del trattamento per quanto riguarda la natura e la finalità del medesimo nonché la sua durata e gli obblighi gravanti sul titolare stesso.
In considerazione di ciò, il responsabile è legittimato a trattare i dati degli interessati soltanto se sussiste tale atto giuridico che lo vincoli al titolare e soltanto se quest’ultimo gli impartisce le suddette istruzioni. In mancanza di ciò, il trattamento effettuato dal responsabile è illegittimo.
Tale previsione normativa non è soltanto prevista dal GPDR, ma anche dalla legislazione previgente, che imponeva comunque che vi fosse uno specifico conferimento di incarico da parte del titolare del trattamento affinchè il responsabile potesse effettuare lecitamente il trattamento dati. Pertanto, non rileva il momento in cui, nel caso di specie, è iniziato il trattamento da parte della reclamata.
3. La decisione del Garante
In considerazione del fatto che è stato accertato che, nel caso di specie, la reclamata non ha ricevuto la necessaria designazione a responsabile del trattamento da parte della sua cliente e che la stessa non ha neanche ricevuto delle specifiche istruzioni su come effettuare il trattamento dei dati, i trattamenti sono stati effettuati dalla reclamata senza un idoneo presupposto di legittimità.
Secondo il Garante, infatti, la reclamata, in considerazione del proprio ruolo di responsabile del trattamento, avrebbe dovuto ricevere la designazione da parte del titolare nonché le istruzioni di parte di quest’ultimo. In mancanza, la stessa avrebbe comunque dovuto richiedere al cliente, prima di avviare il servizio, di provvedere con la designazione e l’invio delle istruzioni. Invece, non è risultato che la reclamata abbia formulato tale richiesta, né che abbia successivamente sollecitato l’invio di tale designazione.
Per tali ragioni, il Garante ha ritenuto che la condotta posta in essere dalla reclamata sostanzi una violazione della normativa in materia di protezione dei dati personali e conseguentemente ha deciso di comminare una sanzione amministrativa pecuniaria a suo carico, che ha quantificato in €. 30.000 (trentamila).
>>>Per approfondire<<<
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento