ASCOLTA ARTICOLO
|
Articolo pubblicato su diritto.it
Con la recente sentenza nr. 26969/2023 la Corte di Cassazione ha ribadito che la messa a disposizione delle credenziali di accesso ai dati costituisce elemento sufficiente per la qualificazione come titolare del trattamento dei dati.
Premessa
Il caso in esame origina da un’ordinanza ingiunzione con cui il Garante privacy quantificava in € 8.000,00 la sanzione comminata ad una società del settore logistico per essersi dotata di un sistema di geolocalizzazione installato sui propri mezzi di trasporto di merci su strada un senza avere effettuato la notifica prevista dalla normativa sul trattamento dati vigente all’epoca dei fatti.
L’adito Tribunale di Sondrio accoglieva l’opposizione sul rilievo che il sistema di geolocalizzazione era stato fornito da una società terza, che ne aveva “autonomamente ideato e sviluppato le funzionalità (..) per poter fornire i propri servizi ai propri clienti” mentre la società del settore logistico si era limitata a fornire a quest’ultima gli automezzi con gli autisti.
Il Tribunale di primo grado motivava rilevando come dalla prova per testi era emerso che sebbene fossero state create le credenziali di accesso per tutte le ditte che lavorano per il Titolare del trattamento, la ditta terza non aveva mai effettuato alcun accesso e mai visualizzato i dati di geolocalizzazione “non avendo personale a ciò adibito” e che in ogni caso la creazione delle credenziali era avvenuta “in modo automatico dal parte del sistema informatico della Titolare, senza alcuna espressa richiesta in tal senso“.
Per tali ragioni – ritenute “assorbenti” – ha quindi annullato l’ordinanza-ingiunzione.
Il Garante della privacy impugnava la sentenza (non notificata) con ricorso per cassazione affidato a un unico motivo.
Diritto
Il Garante privacy controdeduceva sostenendo la qualità di titolare del trattamento dell’azienda che aveva avuto la disponibilità delle credenziali di accesso ai dati di geolocalizzazione.
La Cassazione ha accolto il ricorso sostenendo che l’art. 28 del codice privacy, vigente ratione temporis, disponeva che quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, “titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza“.
La Corte di Cassazione, ribadiva che a il titolare del trattamento è per l’appunto la persona giuridica che in sé abbia a disposizione i dati e possa conseguentemente gestirli (v. Cass. Sez. 2 n. 18292-20, Cass. Sez. 6-2 n. 8184-14).
Non poteva il Tribunale escludere l’illiceità della condotta contestata alla società del settore logistico sulla mera e ininfluente considerazione che il sistema di geolocalizzazione era stato alla stessa fornito dalla società terza; né poteva farlo sul rilievo che quest’ultima aveva autonomamente ideato e sviluppato le funzionalità di quel sistema per la fornitura dei propri servizi.
Ciò non possiede alcuna rilevanza onde escludere in capo alla società terza la qualifica di soggetto titolare del trattamento dei dati.
Il punto decisivo, completamente trascurato dal Tribunale, risulta di contro finanche affermato nella stessa motivazione, ed era costituito – invece – dall’avere avuto la società del settore logistico, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti.
Questo elemento di per sé rappresenta un indice significativo del fatto di essere stata trasferita su tale società la possibilità di esercitare in maniera autonoma dalla fornitrice delle credenziali quel potere decisionale sulle finalità e sulle modalità del trattamento al quale allude giustappunto l’art. 28 del codice privacy. E tanto basta per fare di essa il Titolare del trattamento dei dati.
Conclusioni
Il provvedimento in commento chiarisce i confini della definizione di titolare del trattamento che, ai sensi dell’art. 4 del Regolamento europeo n. 679/2016 (gdpr) è “l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Stabilisce la Suprema Corte, infatti, il seguente principio di diritto al quale il Tribunale di Sondrio dovrà necessariamente attenersi: “ai fini dell’art. 28 del codice privacy, titolare del trattamento dei dati personali, in caso di persona giuridica, associazione o ente, è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza; ne consegue che, in caso di impresa esercente l’attività di trasporto di merci su strada per conto terzi, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente ai fini della attribuzione a tale impresa della qualificazione di soggetto titolare del trattamento dei dati”.
Risulta, quindi, ancora una volta ribadito il principio secondo cui i concetti di Titolare e Responsabile del trattamento, nell’accezione del GDPR, devono essere considerati in maniera funzionale, sulla scorta di circostanze valutabili per ogni singolo caso.
In altre parole, il titolare del trattamento, ora come allora, è tale ogniqualvolta stabilisce finalità e mezzi del trattamento, a nulla rilevando la circostanza che materialmente non compie alcuna attività di trattamento su quei dati e, di converso, l’avere la materiale disponibilità delle credenziali di accesso ai dati di geo localizzazione determina per ciò solo che la società assuma il ruolo di Titolare del trattamento.
D’altro canto già l’EDPB – European Data Protection Board (Comitato europeo per la protezione dei dati), nelle sue Linee Guida n. 7/2020 la cui versione 2.0 è stata adottata, in seguito alla consultazione pubblica, il 7 luglio del 2021[1], ha chiarito che “i concetti di titolare del trattamento, di contitolare del trattamento e di responsabile del trattamento svolgono un ruolo fondamentale nell’applicazione del regolamento generale sulla protezione dei dati, in quanto stabiliscono chi è il Responsabile del rispetto delle diverse norme in materia di protezione dei dati e in che modo gli interessati possono esercitare i propri diritti in concreto”.
Si tratta di concetti funzionali, poiché “mirano a ripartire le responsabilità in funzione dei ruoli effettivi delle parti”, come precisano le linee guida.
[1] https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_it