Con la recente sentenza nr. 26969/2023 la Corte di Cassazione ha ribadito che la messa a disposizione delle credenziali di accesso ai dati costituisce elemento sufficiente per la qualificazione come titolare del trattamento dei dati.
Volume consigliato: Formulario commentato della privacy
Indice
1. Premessa
Il caso in esame origina da un’ordinanza ingiunzione con cui il Garante privacy quantificava in € 8.000,00 la sanzione comminata ad una società del settore logistico per essersi dotata di un sistema di geolocalizzazione installato sui propri mezzi di trasporto di merci su strada un senza avere effettuato la notifica prevista dalla normativa sul trattamento dati vigente all’epoca dei fatti.
L’adito Tribunale di Sondrio accoglieva l’opposizione sul rilievo che il sistema di geolocalizzazione era stato fornito da una società terza, che ne aveva “autonomamente ideato e sviluppato le funzionalità (..) per poter fornire i propri servizi ai propri clienti”; mentre la società del settore logistico si era limitata a fornire a quest’ultima gli automezzi con gli autisti.
Il Tribunale di primo grado motivava rilevando come dalla prova per testi era emerso che sebbene fossero state create le credenziali di accesso per tutte le ditte che lavorano per il Titolare del trattamento, la ditta terza non aveva mai effettuato alcun accesso e mai visualizzato i dati di geolocalizzazione “non avendo personale a ciò adibito”, e che in ogni caso la creazione delle credenziali era avvenuta “in modo automatico dal parte del sistema informatico della Titolare, senza alcuna espressa richiesta in tal senso”.
Per tali ragioni – ritenute “assorbenti” – ha quindi annullato l’ordinanza-ingiunzione.
Il Garante della privacy impugnava la sentenza (non notificata) con ricorso per cassazione affidato a un unico motivo.
Potrebbero interessarti:
Telecamere del Comune per controllare l’abbandono di rifiuti e privacy
Ripresa su un volo pubblicata sui social: violazione della privacy
2. Titolarità del trattamento ed accesso ai dati
Il Garante privacy controdeduceva sostenendo la qualità di titolare del trattamento dell’azienda che aveva avuto la disponibilità delle credenziali di accesso ai dati di geolocalizzazione.
La Cassazione ha accolto il ricorso sostenendo che l’art. 28 del codice privacy, vigente ratione temporis, disponeva che quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, “titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza“.
La Corte di Cassazione, ribadiva che a il titolare del trattamento è per l’appunto la persona giuridica che in sé abbia a disposizione i dati e possa conseguentemente gestirli (v. Cass. Sez. 2 n. 18292-20, Cass. Sez. 6-2 n. 8184-14).
Non poteva il Tribunale escludere l’illiceità della condotta contestata alla società del settore logistico sulla mera e ininfluente considerazione che il sistema di geolocalizzazione era stato alla stessa fornito dalla società terza; né poteva farlo sul rilievo che quest’ultima aveva autonomamente ideato e sviluppato le funzionalità di quel sistema per la fornitura dei propri servizi.
Ciò non possiede alcuna rilevanza onde escludere in capo alla società terza la qualifica di soggetto titolare del trattamento dei dati.
Il punto decisivo, completamente trascurato dal Tribunale, risulta di contro finanche affermato nella stessa motivazione, ed era costituito – invece – dall’avere avuto la società del settore logistico, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti.
Questo elemento di per sé rappresenta un indice significativo del fatto di essere stata trasferita su tale società la possibilità di esercitare in maniera autonoma dalla fornitrice delle credenziali quel potere decisionale sulle finalità e sulle modalità del trattamento al quale allude giustappunto l’art. 28 del codice privacy. E tanto basta per fare di essa il Titolare del trattamento dei dati.
3. Conclusioni
Il provvedimento in commento chiarisce i confini della definizione di titolare del trattamento che, ai sensi dell’art. 4 del Regolamento europeo n. 679/2016 (gdpr) è “l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Stabilisce la Suprema Corte, infatti, il seguente principio di diritto al quale il Tribunale di Sondrio dovrà necessariamente attenersi: “ai fini dell’art. 28 del codice privacy, titolare del trattamento dei dati personali, in caso di persona giuridica, associazione o ente, è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza; ne consegue che, in caso di impresa esercente l’attività di trasporto di merci su strada per conto terzi, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente ai fini della attribuzione a tale impresa della qualificazione di soggetto titolare del trattamento dei dati”.
Risulta, quindi, ancora una volta ribadito il principio secondo cui i concetti di Titolare e Responsabile del trattamento, nell’accezione del GDPR, devono essere considerati in maniera funzionale, sulla scorta di circostanze valutabili per ogni singolo caso.
In altre parole, il titolare del trattamento, ora come allora, è tale ogniqualvolta stabilisce finalità e mezzi del trattamento, a nulla rilevando la circostanza che materialmente non compie alcuna attività di trattamento su quei dati e, di converso, l’avere la materiale disponibilità delle credenziali di accesso ai dati di geo localizzazione determina per ciò solo che la società assuma il ruolo di Titolare del trattamento.
D’altro canto già l’EDPB – European Data Protection Board (Comitato europeo per la protezione dei dati), nelle sue Linee Guida n. 7/2020 la cui versione 2.0 è stata adottata, in seguito alla consultazione pubblica, il 7 luglio del 2021 , ha chiarito che “i concetti di titolare del trattamento, di contitolare del trattamento e di responsabile del trattamento svolgono un ruolo fondamentale nell’applicazione del regolamento generale sulla protezione dei dati, in quanto stabiliscono chi è il Responsabile del rispetto delle diverse norme in materia di protezione dei dati e in che modo gli interessati possono esercitare i propri diritti in concreto”.
Si tratta di concetti funzionali, poiché “mirano a ripartire le responsabilità in funzione dei ruoli effettivi delle parti”, come precisano le linee guida.
Volume consigliato
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento