Numero di targa del veicolo: è dato personale idoneo a risalire all’utilizzatore del parcometro

[...] il numero di targa dei veicoli costituisce in una percentuale statisticamente preponderante un dato personale idoneo a risalire alla persona dell'utilizzatore del parcometro, consentendone, dunque, la profilazione, onde il trattamento non può dirsi irrilevante sotto questo profilo.

L'opposizione alla sanzione

Una S.r.l. propose opposizione contro l'ordinanza-ingiunzione emessa, nei suoi confronti, dal Garante per la protezione dei dati personali, con cui le era stato intimato il pagamento di € 30.000,00 a titolo di sanzione amministrativa pecuniaria ex art. 166, comma 7, del cd. Codice della privacy, nonché 83, par. 5, GDPR, per la violazione degli artt. 5, 6, e 30 di quest'ultimo. Era stato contestato, peraltro, di aver trattato dati personali degli utenti, raccolti attraverso una certa tipologia di parcometri, senza essere stata previamente nominata quale sub-responsabile per il trattamento e, dunque, in assenza dei requisiti di interesse pubblico che insistono in capo al titolare effettivo del trattamento stesso.

La contestazione del numero di targa

Il Tribunale rigettava il ricorso interposto dalla S.r.l. ricorrente, rilevando, tra le altre cose, che «il numero di targa dei veicoli costituisce in una percentuale statisticamente preponderante un dato personale idoneo a risalire alla persona dell'utilizzatore del parcometro, consentendone, dunque, la profilazione, onde il trattamento non può dirsi irrilevante sotto questo profilo». La questione finisce sui banchi della I Sezione Civile che, parimenti, rigetta il ricorso della S.r.l.

La difesa

Tra i motivi, la S.r.l. ha denunziato la violazione e falsa applicazione dell'interpretazione del principio di liceità del trattamento, di cui all'art. 5, «Principi applicabili al trattamento di dati personali», in relazione all'omessa nomina del responsabile del trattamento ex art. 28 GDPR, in ordine al trattamento svolto dalla s.r.l. Viene in particolare contestato il ragionamento del tribunale nella parte in cui fonda il proprio convincimento partendo dall'assunto che la targa automobilistica sia da considerare a tutti gli effetti un dato personale, assumendo, tra l'altro, che «dal dato personale della targa, consultando il Pubblico Registro Automobilistico (PRA), è possibile risalire solo al nominativo del proprietario del veicolo che, in astratto, potrebbe anche essere una persona giuridica – non oggetto di tutela da parte del GDPR – o un soggetto diverso dal proprietario». Per la difesa in nessun caso la targa consente di identificare, senza dubbio, il conducente/utente del servizio di sosta a pagamento, rilevando al contempo che per identificare con certezza il conducente occorrerebbe fare una indagine «sproporzionata» rispetto all'interesse alla valutazione.

La targa quale dato personale

La I Sezione Civile, nel rigettare le doglianze, ha precisato che risulta indubbio che la targa di un autoveicolo, poiché riferita a soggetto identificato o identificabile, deve considerarsi «dato personale». Lo era secondo l'art. 4, lett. b), del d.lgs. n. 196 del 2003 (abrogato dal d.lgs. n. 101 del 2018), a tenore del quale rientrava in tale nozione «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale», e lo è tuttora, ai sensi del GDRP, alle cui disposizioni la normativa nazionale è stata adeguata con il d.lgs. n. 101 del 2018, il cui art. 4, al punto 1), definisce «dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». Il Collegio ha precisato di essere conscio della circostanza che dal dato personale della targa, consultando il Pubblico Registro Automobilistico, è possibile risalire solo al nominativo dell'intestatario del veicolo che, in astratto, potrebbe anche non esserne l'effettivo utilizzatore o, addirittura, essere una persona giuridica, non oggetto di tutela da parte del GDPR, o un soggetto diverso dall'effettivo proprietario. Ma l'affermazione del tribunale secondo cui «il numero di targa dei veicoli costituisce in una percentuale statisticamente preponderante un dato personale idoneo a risalire alla persona dell'utilizzatore del parcometro, consentendone, dunque, la profilazione, onde il trattamento non può dirsi irrilevante sotto questo profilo», poiché fondata su una valutazione fattuale, non è risultata ulteriormente sindacabile in sede di legittimità.

Le precisazioni della Cassazione nel 2021

La stessa Corte (Cass. n. 19270/2021):

• ebbe a ritenere rientrante nel novero dei «dati personali» il numero di targa di un veicolo, benché esso sia visibile a tutti quando circola per strada, richiamando un'analoga affermazione rinvenibile in Cass. pen. n. 44940 del 2011;
• chiarì che «ciò che assume rilievo decisivo, in materia di privacy, è, dunque, il collegamento funzionale, ai fini identificativi, tra i dati personali e la persona fisica, in presenza di condotte astrattamente riconducibili nell'alveo del trattamento».

La normativa

Sul piano normativo il collegio ha rammentato che, alla stregua delle previsioni contenute nell'art. 5 GDPR, i dati personali devono essere:

• trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
• raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità […];
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
• esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
• conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»).

La mancanza dell'investitura di sub-responsabile

Nella specie, consegue, dunque che, secondo il collegio, nell'assenza, come accertata dal tribunale, fino all'aprile 2019, di una formale investitura del ruolo di sub-responsabile del trattamento del dato in questione (di cui erano, rispettivamente, titolare l'ente territoriale e responsabile una s.p.a.) in favore della s.r.l. quest'ultima ha operato contra legem, certamente non potendo sopperire a tale carenza l'esistenza di obblighi contrattuali di natura privatistica tra la stessa e la sua committenza. Né l'avvenuta successiva formalizzazione della nomina può valere a sanare i trattamenti effettuati in precedenza. In assenza di «designazione» quale sub-responsabile del trattamento dei dati personali (art. 28 GDPR) da parte del responsabile (si ribadisce, una s.p.a.), con specifico contratto o altro atto equipollente, né essendo stati individuati altri presupposti che potessero legittimare il trattamento dei dati personali degli utenti del servizio in esame, il loro trattamento, da parte della s.r.l., è stato considerato effettuato in assenza di idonea base giuridica e, dunque, in violazione degli artt. 5, par. 1, lett. a), e 6 del GDPR.

La finalità di pubblico interesse del trattamento

Il tribunale aveva rilevato che «la pretesa di mutuare la liceità del trattamento dalla finalità di pubblico interesse per il quale esso è eseguito (art. 6, comma 1, lett. f), GDPR), se identificato nell'obiettivo di evitare che più utenti utilizzino il medesimo tagliando se non ancora scaduto, può giovare, se mai, al titolare del trattamento, e non già a un soggetto distinto da esso che non abbia preventivamente acquisito formalmente la posizione di responsabile (o sub-responsabile) del trattamento; se, invece, tale finalità si identifichi nella ben più rilevante esigenza di garantire la continuità del servizio, la raccolta dei dati personali in esame non si pone in alcun rapporto di necessità causale rispetto ad essa (come è dimostrato dalla coesistenza di diversi sistemi di riscossione del pedaggio sul territorio)». Il collegio di legittimità osserva che malgrado possa essere corretto riconoscere che il trattamento in parola sia lecito ed espressione di un interesse pubblico (ex art. 6, comma 1, lett. f), GDPR) tanto, tuttavia, non consentirebbe alla S.r.l., grazie al contratto di fornitura di un servizio, di trattare lecitamente i dati pure in assenza di una formale investitura a sub responsabile del trattamento stesso.

La mancata operatività della condizione di liceità

Al contempo, il collegio romano ha precisato che la s.r.l. neppure può avvalersi, estendendolo a sé stessa, del disposto dell'art. 6 GDPR, che contiene una condizione di liceità riferita al solo titolare del trattamento, e, come tutte le cause di esclusione della illiceità del fatto, non risulta suscettibile di applicazione analogica né di interpretazione estensiva, tale per cui la norma possa ritenersi operativa pure a un soggetto diverso (appunto, la S.r.l.) che non risulta essere stato, nello specifico, «autorizzato».

(fonte: Diritto e Giustizia)