La Suprema Corte Civile torna a esprimersi in materia di protezione dati, e questa volta lo fa sui ruoli privacy e in particolare sul titolare del trattamento.
Lo fa cassando una sentenza di merito pronunciata dal Tribunale di Sondrio che, scrivono i Giudici di legittimità, non aveva affatto “compreso il problema giuridico implicato dalla controversia” e cioè la funzionalità del ruolo di titolare del trattamento in questo caso specifico.
Vediamo più nel dettaglio la pronuncia apprezzandola nel suo costrutto che si inserisce nel più ampio ragionamento e in linea di continuità con le Linee guida dell’EDPB n. 7/2020, adottate il 7 luglio 2021.
Indice degli argomenti
Il fatto
Una società del settore logistico veniva sanzionata dal Garante per la protezione dei dati personali nel giugno del 2018 con una sanzione amministrativa di 8 mila euro, per non aver comunicato o meglio notificato l’uso del sistema di geolocalizzazione installato sui propri mezzi di trasporto di merci su strada, come invece imposto dagli artt. 37 e 38 del previgente Cod. Privacy.
Avverso questa ordinanza-ingiunzione la società coinvolta si opponeva ricorrendo al Tribunale valtellinese che accoglieva l’opposizione annullando l’ordinanza.
A quel punto, il Garante ricorreva per Cassazione con un solo motivo deducendo l’erronea interpretazione e conseguente applicazione di legge.
Il ricorso per Cassazione
Nel resistere il Garante rileva che il Giudice valtellinese ha errato a non considerare correttamente il ruolo assunto dalla società del settore logistico a nulla rilevando che “il sistema di geolocalizzazione fosse stato fornito da una società terza, la quale “autonomamente” aveva ideato e sviluppato le funzionalità […] per poter fornire i servizi ai propri clienti”.
Per arrivare alla conclusione, comprovata anche dalla prova per testimoni sentiti a giudizio, che la società opponente se da un lato aveva gestito il sistema di geolocalizzazione con a disposizione il database, dall’altro non aveva mai effettuato alcun accesso e mai visualizzato i dati di geolocalizzazione.
Non solo, le credenziali di accesso erano state create automaticamente dal sistema.
Naturalmente, il Garante impugnava subito e ricorreva per Cassazione.
La motivazione
La Suprema Corte nell’accogliere il ricorso, smonta completamente la tesi del Giudice di prime cure ritenendo, fin dalle prime battute della motivazione, che “la circostanza enfatizzata dal tribunale non esclude che la (società del settore logistico) abbia rivestito il ruolo di titolare del trattamento”.
D’altra parte, la disponibilità delle credenziali di accesso ai dati di geo localizzazione fa si che la società assuma il ruolo, nella sostanza, di titolare del trattamento.
Da qui, la piena fondatezza del ricorso presentato dal nostro Garante.
Nel suffragare questa tesi, la Cassazione invoca l’art. 28 del previgente Cod. Privacy, vigente ratione temporis, a mente quale “quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, il titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”.
Si tratta peraltro di un orientamento peraltro consolidato e già espresso da altre sentenze della Suprema Corte (cfr. Cass. Sez. 2 n. 18292/20, Cass. Sez. 6, 2 n. 8184/14).
Da qui, l’errato rilievo della sentenza valtellinese in questione sull’erroneo assunto secondo cui il fornitore terzo avesse “autonomamente ideato e sviluppato le funzionalità del sistema”. E il mancato accesso ai dati di geolocalizzazione contenuti nel data base non esime, per ciò stesso, il ruolo da titolare del trattamento.
Anzi, non comprendere questo, significare non aver colto proprio le basi della materia relativa alla protezione dei dati.
Il principio di diritto
La Cassazione, nel cassare la sentenza del tribunale di Sondrio, annullandola con rinvio, stabilisce un principio diritto al quale lo stesso tribunale in diversa composizione dovrà necessariamente attenersi, del seguente testuale tenore:
“ai fini dell’art. 28 del codice privacy, titolare del trattamento dei dati personali, in caso di persona giuridica, associazione o ente, è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza; ne consegue che, in caso di impresa esercente l’attività di trasporto di merci su strada per conto terzi, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente ai fini della attribuzione a tale impresa della qualificazione di soggetto titolare del trattamento dei dati”.
L’insegnamento e il punto saliente dell’ordinanza
Con la pronuncia in questione (la n. 26969/2023), la Corte di Cassazione ribadisce un orientamento giurisprudenziale e dottrinale granitico secondo cui il concetto di titolare del trattamento e non di meno quello di responsabile del trattamento, innovati in un certo senso dal GDPR, devono essere intesi non in un’accezione meramente formale, bensì “funzionale” poiché mirano a ripartire le responsabilità in funzione dei ruoli effettivi delle parti; ripartizione derivante anche dall’analisi di elementi di fatto o circostanze del singolo caso.
Nulla di nuovo, se pensiamo alle varate Linee Guida 7/2020 dell’EDPB.
Il punto saliente dell’ordinanza in parola, è espresso a chiare lettere dalla stessa allorché afferma testualmente che “il punto decisivo, completamente trascurato dal Tribunale di Sondrio, secondo la Cassazione, risulta che la sola messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti alla società del settore logistico di per sé rappresenta un indice significativo del fatto di essere stata trasferita su tale società la possibilità di esercitare in maniera autonoma quel potere decisionale sulle finalità e sulle modalità del trattamento”.
Tanto basta, conclude la Suprema Corte, “per fare di essa il titolare del trattamento dei dati e, dunque, riconoscere in capo ad essa l’incombenza di tutte le responsabilità e adempimenti che la normativa di riferimento (GDPR e codice privacy novellato) prevedono per il Titolare”.
La corretta lettura del Codice Privacy anche alla luce del principio di continuità normativa
L’importanza dell’art. 28 del previgente Cod. Privacy è autoevidente nella misura in cui, anche se oggi è stato formalmente abrogato per effetto del D.lgs. 101/2018 che ha inteso armonizzare la normativa nazionale al GDPR, anche alla luce del principio di continuità normativa nella sua portata definitoria.
Nella sostanza il titolare del trattamento, ora come allora, è tale ogniqualvolta stabilisce finalità e mezzi del trattamento e non importa se nulla compie in termini di dati.
Funzionalità dei ruoli privacy e richiamo alle linee guida EDPB
Il Comitato europeo per la protezione dei dati il cosiddetto EDPB – European Data Protection Board nel 2020 ha elaborato, tra le altre, delle importanti Linee Guida n. 7/2020 la cui versione 2.0 è stata adottata, in seguito alla consultazione pubblica, il 7 luglio del 2021, sui concetti di titolare e responsabile del trattamento ai sensi del GDPR.
Come si può apprezzare già dalla “sintesi” del citato documento, all’EDPB preme distinguere concettualmente bene le figure in questione, al fine di fornirne una corretta qualificazione.
Per completezza, corre d’obbligo precisare che il Gruppo di lavoro non si limita a queste due figure, anche per lo stesso Regolamento ne contempla un’altra altrettanto delicata, che è data dal “contitolare del trattamento” di cui si è accennato in precedenza.
In generale, le linee guida affermano, sin da principio, che “i concetti di titolare del trattamento, di contitolare del trattamento e di responsabile del trattamento svolgono un ruolo fondamentale nell’applicazione del regolamento generale sulla protezione dei dati [omissis], in quanto stabiliscono chi è il Responsabile del rispetto delle diverse norme in materia di protezione dei dati e in che modo gli interessati possono esercitare i propri diritti in concreto”.
D’altronde, il significato preciso di tali concetti e i relativi criteri ai fini di una corretta interpretazione degli stessi, devono essere sufficientemente chiari e coerenti nell’intero Spazio economico europeo (SEE).
Si tratta di concetti funzionali, poiché “mirano a ripartire le responsabilità in funzione dei ruoli effettivi delle parti”, come precisano le linee guida.
Conclusione
In conclusione, la titolarità può essere definita per legge o in ragione di un’analisi degli elementi fattuali o delle circostanze del singolo caso di specie, come visto, dal momento che alcune attività di trattamento possono essere considerate come connesse al ruolo ricoperto da un determinato soggetto.
Da qui, è bene ricordare che la verifica dei ruoli e loro disciplina a livello contrattuale, non è questione soltanto formale, ma anche sostanziale.
Ecco perché è importante cogliere quello che è l’obiettivo principale quando occorre attribuire e individuare i ruoli privacy, in primis di titolare del trattamento; il tutto non di meno al fine di garantire quel principio sacro del GDPR noto come quello dell’accountability, che sta alla base di tutto il (nuovo) sistema.
