Premesse
La pronuncia della Cassazione, pur nella sua sinteticità, è degna di nota in quanto anche con l’entrata in vigore del GDPR e le conseguenti modifiche e abrogazioni al Codice Privacy, la figura del Titolare del trattamento è rimasta, almeno in linea di principio, pressoché inalterata.
Dunque, la pronuncia avrebbe avuto, probabilmente, gli stessi contenuti anche sotto la vigenza del GDPR.
Il caso
La vicenda trae origine dalla sanzione imposta dal Garante Privacy ad una società di trasporto merci su strada conto terzi per aver omesso la notifica, al Garante stesso, all’epoca prevista dall’ormai abrogato art. 37, comma 1, lett. a) del Codice Privacy.
La società di trasporto aveva infatti installato un sistema di geolocalizzazione sui propri mezzi in dotazione che era però stato sviluppato e fornito da un’altra società, la quale forniva altresì lo spazio di archiviazione su cui conservare in remoto i dati di geolocalizzazione raccolti dal sistema.
La sviluppatrice del sistema forniva inoltre le credenziali alla società di trasporti per accedere alla partizione del database ove erano conservati i dati raccolti dai mezzi in dotazione alla trasportatrice stessa.
La società di trasporti non riteneva di star effettuando alcun trattamento di dati personali e dunque non riteneva di dover compiere alcun adempimento privacy in relazione a tale raccolta di dati di geolocalizzazione.
Ciò in considerazione del fatto che – “non avendo personale a ciò adibito” – non avrebbe utilizzato le credenziali messe automaticamente a disposizione dal sistema sviluppato dalla fornitrice.
Ma la mera mancanza di un effettivo accesso, pur sempre possibile anche senza apposito personale, non bastava a risparmiare alla società di trasporti una sanzione da 8.000,00 € per non aver eseguito la notifica preventiva al Garante Privacy, il quale aveva inquadrato tale società, e non la fornitrice e ideatrice del sistema, come Titolare di un trattamento di dati personali.
La società di trasporti in un primo momento riusciva a convincere il Tribunale di merito di Sondrio ad annullare la sanzione dimostrando, anche tramite testimoni, di non aver richiesto le credenziali d’accesso in modo espresso alla società sviluppatrice della soluzione di geolocalizzazione.
La pronuncia della Corte
il Garante Privacy non ci stava e, vistosi annullare l’ordinanza-ingiunzione di pagamento, ricorreva alla Suprema Corte per veder cassata la sentenza d’annullamento di primo grado, affidando il proprio ricorso ad un unico e puntuale motivo, accolto dalla Cassazione.
Nella laconica motivazione di legittimità la Corte pone l’enfasi sul fatto che la necessità di geolocalizzare gli autisti e i destinatari della merce era propria della ditta di trasporti che, in qualità di Titolare, aveva individuato nel software della società fornitrice la modalità del trattamento.
Così facendo aveva dunque assunto su di sé il ruolo di Titolare del trattamento e le relative responsabilità, ivi compresa la notifica preventiva al Garante la cui omissione aveva appunto fatto scattare la sanzione da cui prendeva origine la querelle.
La società per azioni fornitrice della soluzione di geolocalizzazione, la cui finalità era quella di fornire il proprio sistema ai clienti e che non aveva autoarticolati su cui installarlo, era dunque coinvolta nel trattamento in oggetto per mera scelta della società di trasporti, la quale poteva benissimo scegliere sul mercato altre società fornitrici di soluzioni simili.
Seppur l’ordinanza in commento sorvoli su questo punto, il ragionamento seguito dalla Suprema Corte ci lascia pensare che trattasi di un classico esempio di esternalizzazione di un servizio in cui il fornitore prescelto doveva essere nominato Responsabile del trattamento ai sensi del previgente art. 29 Codice Privacy, applicando i principi delle Linee Guida 7/2020.
Tale decisione ci fornisce dunque un’ulteriore precisazione sugli indici rivelatori – in questo caso, appunto, il potere di accesso ai dati personali tramite credenziali ad uso esclusivo – che permettono di individuare la parte che effettivamente svolge il ruolo di Titolare del trattamento.
Conclusioni
Il principio di responsabilizzazione nel trattamento dei dati personali viene dunque ribadito e rafforzato, proprio perché i ruoli privacy vanno valutati in concreto, dal punto di vista pratico, a prescindere dalle definizioni formali che le parti si danno nei contratti.
Concludendo, il rimando operato dalla decisione in parola all’ordinanza Cass. Sez. 2 n. 18292/2020 ci permette di ricordare il sempre interessante parallelismo tra Codice Privacy, in tema di responsabilità del Titolare per illecito trattamento, e il D.Lgs. 231/2000, in tema di responsabilità degli enti per illecito penale.
Entrambi i corpus normativi, infatti, configurano una “deroga al principio dell’imputabilità personale della sanzione” e definiscono un regime di responsabilità autonoma della persona giuridica non oggettiva, ma che deve intendersi quale “colpa di organizzazione” “derivante dall’inottemperanza da parte dell’ente all’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti”.