La Cassazione interviene nuovamente sul tema della configurazione funzionale dei ruoli privacy

Massima

In tema di protezione dei dati, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale autonomo sulle finalità e modalità del trattamento. Perciò, in caso d’impresa esercente l'attività di trasporto di merci su strada per conto terzi, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente per attribuirle la qualifica di titolare del trattamento dei dati.

Il caso

Il contenzioso segue l'opposizione di una società del settore logistico avverso l'ordinanza-ingiunzione notificatale dal Garante per la Protezione dei Dati Personali (“GPDP”) a giugno 2018, con cui si comminava una sanzione amministrativa pecuniaria di ottomila euro conseguente alla violazione relativa all'uso di un sistema di geolocalizzazione installato sui propri mezzi di trasporto di merci su strada.

In particolare, una società aveva ideato e sviluppato un sistema di geolocalizzazione e lo aveva messo nella disponibilità della società di trasporti, che lo aveva installato sui propri mezzi. Il relativo database rimaneva nella piena disponibilità della società ideatrice e la società di trasporti non accedeva al programma, né ne visualizzava i rispettivi dati.

Il GPDP rilevava, a danno della società di trasporti, la violazione dell'art. 37 comma 1 lett. a) dell'allora vigente d.lgs. n. 196/2003 (“Codice Privacy”), nella parte in cui poneva in capo al titolare del trattamento dati l'obbligo di notifica al GPDP del trattamento riguardante dati che indicano la posizione geografica di persone od oggetti tramite una rete di comunicazione elettronica.

Nella resistenza del GPDP, il tribunale aveva accolto l'opposizione della società del settore logistico. A fondamento della decisione il principale rilievo riguardava il fatto che, secondo il tribunale adito, il sistema di geolocalizzazione era stato fornito da una terza società fornitrice che aveva autonomamente ideato e sviluppato le funzionalità per potere fornire i propri servizi ai propri clienti.

Per tali ragioni, il tribunale aveva annullato l'ordinanza-ingiunzione del GPDP.

La questione

Il GPDP ha successivamente impugnato la sentenza con ricorso per cassazione con un unico motivo: violazione e falsa applicazione degli  artt. 4 , comma 1, lett. f) e  28  Codice Privacy, inerenti alla disciplina della “definizione” e del ruolo e dei compiti del “titolare del trattamento”, oggi prevista dagli  artt. 4  e  24  GDPR.

Il GPDP alla base del ricorso sosteneva che la circostanza posta a fondamento della decisione del tribunale non escludesse nelle condizioni fattuali del caso specifico la titolarità della società del settore logistico, avendo la stessa avuto anche solo “la disponibilità” delle credenziali di accesso ai dati di geolocalizzazione.

Le soluzioni giuridiche

La Cassazione ha accolto il ricorso del GPDP, richiamando la massima consolidata secondo cui il titolare del trattamento è appunto la persona giuridica che in sé abbia a disposizione i dati e possa conseguentemente gestirli (Cass. civ., ord., 8 aprile 2014, 8184 e Cass. civ., ord., 3 settembre 2020, 18292).

Difatti, secondo la Suprema Corte, la sola messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti alla società del settore logistico di per sé è un indice significativo del fatto di essere stata trasferita su tale società la possibilità di decidere autonomamente sulle finalità e modalità del trattamento.

Quindi, per essere titolari del trattamento non è necessario che si abbia effettivamente accesso ai dati oggetto del trattamento stesso. Al contrario, in taluni casi è da ritenersi titolare anche colui che non avrà mai accesso effettivo ai dati. Ciò basta per fare di tale soggetto il titolare del trattamento dei dati e conseguentemente riconoscere in capo a esso l'incombenza delle responsabilità e degli adempimenti che la normativa di riferimento, cioè il GDPR e il novellato Codice Privacy, prevede per il titolare stesso.

Nell'ambito della decisione, peraltro, i giudici di legittimità hanno anche valorizzato la circostanza che la società di trasporti delegata stabiliva le misure di sicurezza relative al trattamento, come previsto dal previgente art. 28 del Codice Privacy, appunto per quanto attiene alla gestione delle credenziali di accesso al sistema di geolocalizzazione.

Osservazioni

La pronuncia interviene su una questione esemplificativa della definizione dei ruoli nel trattamento dei dati.

Infatti, essa si allinea all’orientamento espresso dal Gruppo di Lavoro Articolo 29 nel proprio Parere 1/2010 – WP169, successivamente confermato dal Comitato Europeo per la protezione dei dati (European Data Protection Board - “EDPB”) nella versione 2.0 delle Linee Guida 07/2020, adottate il 7 luglio 2021, relative ai concetti di titolare e responsabile del trattamento ai sensi del GDPR. Da tale documento si evince, infatti, che per essere qualificato come titolare del trattamento non è necessario che il soggetto acceda effettivamente ai dati trattati: i concetti di titolare e responsabile del trattamento sono funzionali, perché mirano a ripartire le responsabilità in base ai ruoli effettivi delle parti.

Quindi, lo status giuridico di un soggetto quale titolare o responsabile del trattamento va, in linea di principio, determinato secondo le attività effettivamente svolte in una situazione specifica e non è perciò negoziabile.

I concetti di titolare e responsabile del trattamento svolgono un ruolo fondamentale nell’applicazione del GDPR, poiché stabiliscono chi deve rispettare le diverse norme in materia di protezione dei dati.

In conclusione, la titolarità può essere definita per legge o in base a un’analisi degli elementi fattuali o delle circostanze del singolo caso di specie: la verifica dei ruoli e loro disciplina contrattuale non sono questioni solo formale, ma anche sostanziali.

Riferimenti

L. Bolognini e E. Pelino, Codice privacy: tutte le novità del d.lgs. 101/2018, Giuffrè Francis Lefebvre, Milano, 2019.

E. Pelino, Art. 4.7 GDPR, in L. Bolognini e E. Pelino (a cura di), Codice della disciplina privacy, Giuffrè Francis Lefebvre, Milano, 2019.

L. Bolognini, Art. 4.8 GDPR, in L. Bolognini e E. Pelino (a cura di), Codice della disciplina privacy, cit.

F. Capparelli, Art. 24 GDPR, in L. Bolognini e E. Pelino (a cura di), Codice della disciplina privacy, cit.

S. Zipponi, Art. 28 GDPR, in L. Bolognini e E. Pelino (a cura di), Codice della disciplina privacy, cit.