Il fornitore non è sempre responsabile del trattamento

Privacy ok, ma non esageriamo

La C.S. Group S.p.a., società di noleggio veicoli ecologici, esponeva sul proprio sito web (sul sito www.equomobil.it) un tool di calcolo (lo “scontatore”) con cui l’utente, inserendo apposite informazioni che lo riguardavano, poteva calcolare la riduzione di prezzo a lui riservata rispetto alle tariffe ordinarie.

Il Tribunale di Livorno, con sentenza 1202/2018 del 22 novembre 2018, conformemente all’impugnata ordinanza di ingiunzione del Garante per la tutela dei dati personali (n. 18/2018, doc. web n. 8341304), confermava l’ingiunzione di pagamento per la somma di ben Euro 60.000!

Sia il Garante che i giudici, infatti, ravvisavano nel funzionamento dello scontatore una fattispecie riconducibile all’allora vigente art. 37, lett. d), del D.Lgs. 196/2003 (il Codice Privacy), poi abrogato dalla riforma del D.Lgs. 101/2018 che ha recepito le disposizioni del GDPR.

Il suddetto articolo prevedeva infatti un’obbligo di notificazione al Garante relativamente ai «dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo […]».

In altri termini, la C.S. Group avrebbe dovuto notificare il trattamento al Garante prima di procedere alla raccolta dati, e veniva per questo sanzionata per decine di migliaia di Euro.

Va detto che lo scontatore, come emerso nelle istruttorie:

  • non prevedeva la memorizzazione di alcun dato personale, né i dati inseriti momentaneamente nel modulo on line venivano messi in collegamento con le anagrafiche degli utenti;
  • l’attività della C.S. Group posta in essere con lo scontatore non era strumentale alla fornitura di pubblicità personalizzata, né all’analisi e monitoraggio dei comportamenti dei visitatori del sitoweb, né allo sfruttamento commerciale dei dati forniti dagli utenti;
  • lo sconto era determinato in modo automatico a partire dalle informazioni fornite dall’utente e, una volta calcolato, non consentiva di risalire a chi lo aveva chiesto e alle sue informazioni, con la conseguenza che non si poteva pervenire all’a sua identificazione inequivoca.

Ciò nonostante, l’ordinanza di Cassazione qui in commento ha confermato la sanzione amministrativa ritenendo che il Tribunale ha correttamente applicato l’art. 37 del Codice Privacy (vecchio testo).

Secondo il ragionamento dei giudici, poiché lo scontatore «incrociava e analizzava i dati dei clienti, in modo da prevedere l’utilizzo che ciascuno avrebbe fatto dei veicoli e calcolare di conseguenza lo sconto», esso doveva essere considerato uno strumento elettronico volto alla personalizzazione dell’offerta commerciale, il che non può che essere una manifestazione della profilazione del cliente, sebbene esso non risulti individualmente identificato.

I giudici, in sostanza, hanno escluso la rilevanza della memorizzazione dei dati e della loro associazione con il singolo cliente (single out), essendo già di per sé rilevante l’attività di elaborazione e screening dei dati personali attraverso un algoritmo, al fine di analizzare o prevedere le specifiche esigenze dell’utente fruitore in vista di un vantaggio economico.

Alcune considerazioni

A Corte ha adottato una interpretazione piuttosto letterale della norma, peraltro ora non più in vigore, ritenendo di nessun pregio il fatto che l’utente/cliente non possa essere identificato o in alcun modo collegato ai dati utilizzati dallo scontatore.

L’attività di profilazione, oggi, non è più soggetta a previa notifica al Garante ed è consentita, nel rispetto del principio di privacy by disign, alle condizioni di cui all’art. 22 GDPR, disposizione la cui portata è ben chiarita dalle «Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679» (WP 251 del 3 ottobre 2017, e successiva versione).

Sostanzialmente occorre il consenso esplicito dell’interessato, fermi restando gli altri generali obblighi di informativa e data retention, come peraltro già era previsto nel vigore del Codice Privacy prima del 2018, allorché lo stesso Garante aveva adottato delle proprie «Linee guida in materia di trattamento di dati personali per profilazione on line» del 19 marzo 2015.

Oggi, pertanto, il scontatore non sarebbe probabilmente oggetto di stigma, se preceduto da una esaustiva e pertinente analisi di impatto ex art. 35 GDPR.

Ma c’è di più. Davvero lo scontatore rientrava nella disciplina della privacy?

Dato personale o no?

Considerato l’effettivo funzionamento dello scontatore, c’è da chiedersi se davvero esso, relativamente all’attività di profilazione, importasse un trattamento di dati personali.

Infatti, come insegna il Working Party, si ha dato personale solo se si supera il test dell’ancora attualissimo parere n. 4 del 20 giugno 2007 (WP136) del Gruppo di Lavoro ex articolo 29, secondo il quale si può parlare di dato personale solo dopo aver svolto tre verifiche: contenuto, scopo e risultato (“WP136 Test”). Un’informazione è riferita ad una persona fisica qualora:

  • il trattamento abbia come contenuto dati direttamente riferibili ad un individuo, come la foto di una persona o la sua cartella clinica;
  • oppure, il trattamento abbia lo scopo di identificare una persona fisica, come i dati di un sistema di videosorveglianza che vengono conservati per un certo periodo proprio per risalire in caso di commissione di atti illeciti all’identificazione dell’autore del reato;
  • oppure, il trattamento abbia come risultato l’identificazione di una persona fisica, come la geolocalizzazione di un parco macchine di servizio taxi per ottimizzare le chiamate che si risolve in un monitoraggio degli spostamenti dei tassisti.

Alla luce di quanto sopra, non pare, a leggere gli atti, che lo scontatore abbia utilizzato dati personali[1].

Dispositivi non persistenti

Un ultimo appunto.

In base alla deliberazione n. 1 del Garante del 31 marzo 2004 sarebbero sottratti dall’obbligo di notificazione i trattamenti relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito internet.

Se davvero lo scontatore non prevedeva la memorizzazione dei dati, ma solo la formulazione in automatico di una proposta contrattuale, mi pare che anche per tale profilo si possa concludere che la raccolta dei dati personali dell’utente in sede di compilazione del modulo on line non fosse soggetta all’obbligo di notificazione al Garante.

Cass., Ord., 8 novembre 2021, n. 32411

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA


[1] I dati personali sono stati senz’altro utilizzati dal titolare per l’erogazione del servizio di noleggio auto, ma tale trattamento non si è esteso alla fase di calcolo dello sconto.

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il TAR detta regole restrittive per i DPO persone giuridiche

Nel Comunicato stampa del 27 dicembre 2021, il Garante per la protezione dei dati personali ha rila...

Privacy

Il fornitore non è sempre responsabile del trattamento

I fatti Alla luce di recenti furti e atti di vandalismo realizzati recentemente in aziende di tu...

Privacy

Il TAR detta regole restrittive per i DPO persone giuridiche

Avete mai parcheggiato sulle “strisce blu”? Una volta era semplice e bastava far stampare dal p...

Privacy

X