23.10.2023 Icon

Protezione e trattamento dei dati personali: come individuare il proprietario del trattamento?

Con la sentenza n. 26969/2023, la Corte di Cassazione ha accolto un ricorso proposto dal Garante per la protezione dei dati personali avverso una sentenza del Tribunale di Sondrio, che vedeva parte intimata, la società Alfa operante nel settore trasporti merci, in possesso (seppur senza farne uso effettivo) di un sistema di geolocalizzazione installato sui propri mezzi di trasporto di merci su strada.

La causa ha avuto origine a seguito dell’opposizione da parte di Alfa avverso l’ordinanza-ingiunzione notificatale dal Garante per la protezione dei dati personali. Alla società era stato notificato il provvedimento, in quanto quest’ultima aveva omesso di provvedere alla notificazione prevista in relazione all’uso di un sistema di geolocalizzazione sui mezzi della società di trasporto. Il tribunale locale accoglieva l’opposizione della società sulla base del mancato effettivo utilizzo ed accesso ai dati di geolocalizzazione dei mezzi di trasporto su strada.

Successivamente, il Garante della Privacy provvedeva ad impugnare la sentenza con ricorso per Cassazione. La Cassazione ha ritenuto il ricorso fondato, cassando la sentenza impugnata e statuendo il rinvio al Tribunale di Sondrio. La decisione pone le basi sulla massima consolidata in virtù della quale il Titolare del trattamento è la persona giuridica che in sé abbia a disposizione i dati e possa conseguentemente gestirli. Pertanto, il Tribunale non poteva escludere l’illiceità della condotta contestata «sulla mera ed ininfluente considerazione che il sistema di geolocalizzazione era stato fornito ma non usufruito dalla società di logistica».

Difatti, il punto decisivo, che ha riformato in toto la sentenza del Tribunale, si fonda sul fatto che la sola messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione alla società Alfa, di per sé rappresenta un indice significativo del fatto di essere stata trasferita su tale società la possibilità di esercitare in maniera autonoma il potere decisionale sulle finalità e sulle modalità del trattamento dei dati. Così, tanto basta per fare della società Alfa il titolare del trattamento dei dati e, dunque riconoscere in capo ad essa l’incombenza di tutte le responsabilità e adempimenti che la normativa di riferimento prevedono per il Titolare.

Un soggetto che esternalizzi un’attività di trattamento ed eserciti un’influenza determinante sulla finalità e sui mezzi essenziali del trattamento stesso e, inoltre, che abbia a disposizione le credenziali di accesso ai dati è da ritenersi il Titolare del trattamento anche se non ne farà accesso effettivo ai dati.

Autore Roberto Plebani

Trainee

Milano

r.plebani@lascalaw.com

Desideri approfondire il tema Information Technology ?

Contattaci subito