I fatti preliminari

Il caso in esame ha origine da un’ordinanza di ingiunzione, comminata dall’Autorità Garante per la protezione dei dati personali nel giugno 2018, ad una azienda operante nel settore della logistica, per aver violato l’obbligo, vigente pre-GDPR, di notifica preventiva al Garante, ai sensi dell’art. 37 c. 1 lett. a) del D.lgs. 196/2003 (pre-riforma).

La società, infatti, aveva dotato i propri automezzi di un sistema di geolocalizzazione fornito da un’azienda terza e, per tale ragione, operava un trattamento di “dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica” rientrante nel sopracitato obbligo di notifica.  In particolare, la localizzazione andava notificata in quanto consentiva di individuare in maniera continuativa – anche con eventuali intervalli – l’ubicazione sul territorio o in determinate aree geografiche, mediante apparecchiature o dispositivi elettronici detenuti dal titolare del trattamento. Per tale ragione, il Garante comminava alla società una sanzione pari a 8 mila euro.

 

Il ricorso della società

La società di logistica decideva quindi di opporsi ed impugnava l’ordinanza di ingiunzione dinanzi al Tribunale di Sondrio. Il Tribunale accoglieva il ricorso della società, adducendo tre, principali, motivazioni:

1. Il sistema di localizzazione era stato fornito alla società da un’azienda terza, che lo gestiva insieme al relativo database e che ne aveva “autonomamente ideato e sviluppato le funzionalità (..) per poter fornire i propri servizi ai propri clienti”;
2. La società di logistica non aveva mai effettuato alcun accesso per visualizzare i dati del sistema, né aveva incaricato del personale da adibire a tale controllo;
3. Le credenziali di accesso non erano state richieste dalla società ma erano state generate in automatico da sistema stesso.

 

Il ricorso del Garante

Dinanzi alla decisione del giudice di primo grado, l’Autorità Garante ricorreva, per saltum, per Cassazione, sostenendo, in particolare, la falsa applicazione dell’articolo 28 del Codice Privacy. E’ bene ricordare che tale articolo, corrispondente degli attuali articoli 4 e 24 del Regolamento UE in materia di protezione dei dati personali (GDPR), prevedeva che: “quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, il titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”.

Secondo il Garante, quindi, anche la mera disponibilità delle credenziali di accesso al sistema di localizzazione era un fattore sufficiente a determinare la titolarità della società di logistica, con la conseguente applicazione dell’obbligo di notifica oggetto dell’originaria sanzione comminata.

La sentenza della Cassazione

Con la recente sentenza n. 26969/2023 del 14 settembre 2023, la Cassazione ha accolto il ricorso del Garante, annullando la sentenza impugnata e statuendo il rinvio al Tribunale di Sondrio, in diversa composizione. Secondo la Corte, infatti, “ai fini dell’art. 28 del codice privacy, titolare del trattamento dei dati personali, in caso di persona giuridica, associazione o ente, è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza; ne consegue che, in caso di impresa esercente l’attività di trasporto di merci su strada per conto terzi, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente ai fini della attribuzione a tale impresa della qualificazione di soggetto titolare del trattamento dei dati”.

La sentenza del giudice di primo grado si fondava quindi sull’errato assunto che il fornitore del sistema di localizzazione agisse in autonomia, gestendo il relativo database e determinandone le modalità di funzionamento, senza considerare, però, che:

1. Era stata la società di logistica a richiedere il servizio per proprie finalità;
2. La società di logistica aveva determinato anche il mezzo per effettuare il trattamento, a cui poteva potenzialmente accedere in qualsiasi momento, essendo dotata di apposite credenziali.

Il principio di diritto

La Cassazione ha richiamato la massima giurisprudenziale consolidata secondo cui “il Titolare del trattamento è per l’appunto la persona giuridica che in sé abbia a disposizione i dati e possa conseguentemente gestirli” (v. Cass. Sez. 2 n. 18292-20, Cass. Sez. 6-2 n. 8184-14). Anche la semplice messa a disposizione delle credenziali di accesso ai dati è in grado, quindi, di costituire una circostanza tale da determinare, di fatto, la qualificazione del ruolo di titolare del trattamento dei dati.

Al fine della definizione dei ruoli in materia di protezione dei dati personali, infatti, rilevano gli elementi di fatto e le circostanze del caso concreto, a prescindere dalla qualificazione formale che può essere attribuita dalle stesse parti.

L’importanza della determinazione dei ruoli

Quanto espresso dalla Cassazione si allinea all’orientamento europeo di WP29 (Gruppo di lavoro Articolo 29, Parere 1/2010, WP 169) e, successivamente, di EDPB (European Data Protection Board, Linee guida 07/2020). Da tali linee guida si evince, infatti, che:

1. “per essere qualificato come titolare del trattamento non è necessario che tale soggetto abbia accesso effettivo ai dati trattati” (pag. 3);
2. i concetti di Titolare del trattamento e di Responsabile del trattamento “sono funzionali, in quanto mirano a ripartire le responsabilità in funzione dei ruoli effettivi delle parti” (pagg. 3 e 10).

Ne deriva, quindi, “che lo status giuridico di un soggetto in quanto «titolare del trattamento» o «responsabile del trattamento» deve, in linea di principio, essere determinato dalle attività effettivamente svolte in una situazione specifica, piuttosto che dalla sua designazione formale” (ad esempio sulla base di un contratto), e, proprio per tale ragione, non è negoziabile.

La ripartizione dei ruoli è quindi un’attività che richiede estrema attenzione e che necessita, all’atto pratico, di una preliminare ed accurata analisi degli elementi di fatto e delle circostanze del caso concreto.

Se desideri informati ulteriormente rispetto al tema della governance della protezione dei dati e della gestione dei ruoli privacy, abbiamo preparato una sintetica “pillola” formativa, ovvero un breve corso e-learning della durata di 15 minuti.

Clicca qui  per accedere alla pagina del corso.

Se, invece, desideri affidarti direttamente all’esperienza dei consulenti di Labor Project contattaci, clicca  qui .