L'installazione di strumenti di geolocalizzazione obbliga al rispetto della privacy
25 Settembre 2023
Per la Cassazione non è corretta la decisione del Tribunale di annullare la sanzione amministrativa per mancanza di comunicazione all'Autorità. Il caso riguardava il trasporto di merci su strada conto terzi. L'impresa di trasporti proponeva opposizione contro l'ordinanza-ingiunzione del Garante Privacy per il pagamento della sanzione per non aver provveduto alla notificazione prevista in relazione all'uso di un sistema di geolocalizzazione installato sui propri mezzi di trasporto merci su strada. Il Tribunale aveva concluso che l'impresa di spedizioni aveva «autonomamente ideato e sviluppato le funzionalità (..) per poter fornire i propri servizi ai propri clienti», essendosi l'impresa di trasporti limitata a fornire alla prima gli automezzi con gli autisti. Quindi solo l'impresa di spedizioni aveva gestito il sistema di geolocalizzazione avendo a disposizione il data base e l'impresa di trasporto non aveva effettuato accessi né visualizzato dati. La Cassazione nell'accogliere il ricorso del Garante Privacy - per violazione e falsa applicazione degli artt. 4, primo comma, lett. f), e 28 del codice privacy, oltre che dell'art. 2, lett. d), Direttiva 95/46-CE – sottolinea come l'azienda esercente l'attività di trasporto delle merci su strada, avesse avuto la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti e questo «di per sé rappresenta un indice significativo del fatto di essere stata trasferita su tale società la possibilità di esercitare in maniera autonoma dalla fornitrice delle credenziali quel potere decisionale sulle finalità e sulle modalità del trattamento al quale allude giustappunto l'art. 28 del codice privacy. E tanto basta per fare di essa il titolare del trattamento dei dati.» In conclusione, la Corte accoglie il ricorso e rinvia la causa al Tribunale che dovrà applicare il seguente principio di diritto: «Ai fini dell'art. 28 del codice privacy, titolare del trattamento dei dati personali, in caso di persona giuridica, associazione o ente, è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza; ne consegue che, in caso di impresa esercente l'attività di trasporto di merci su strada per conto terzi, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente ai fini della attribuzione a tale impresa della qualificazione di soggetto titolare del trattamento dei dati». (Fonte: Diritto e Giustizia) |
