NEWS

Una società può essere titolare del trattamento dei dati di geolocalizzazione anche se non vi accede

La Corte di Cassazione torna ad esprimersi sulla titolarità del trattamento, ribadendo l’orientamento già più volte in precedenza sentenziato. Facendo riferimento all’allora vigente art. 28 Codice Privacy (secondo cui "titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza"), nella sentenza n. 26969 del 21 settembre 2023, la Corte riprende il proprio relativo consolidato orientamento ribadendo che la disposizione dei dati e la possibilità di gestirli può bastare per qualificare la persona giuridica quale titolare del trattamento.

La Corte di Cassazione torna ad esprimersi sulla titolarità del trattamento in riferimento dai dati di geolocalizzazione

Relativamente al caso specifico, una società ideava e sviluppava un sistema di geolocalizzazione e lo metteva nella disponibilità di altra società che esercitava l'attività di trasporto di merci su strada per conto terzi, la quale lo installava sui mezzi in dotazione. Il relativo database rimaneva nella piena disponibilità della società ideatrice, e la società di trasporti non effettuava alcun accesso al programma né ne visualizzava i rispettivi dati. Il sistema informatico fornito dalla prima società creava in modo automatico le relative credenziali, senza che la seconda avanzasse alcuna espressa richiesta in tal senso.

Il Garante rilevava, a danno della società di trasporti, la violazione dell’art. 37 co. 1 lett. a) dell’allora vigente Codice Privacy nella parte in cui poneva in capo al titolare del trattamento dati l’obbligo di notifica al Garante del trattamento di dati personali cui intendeva procedere se questo avesse riguardato “dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica” e le comminava una sanzione di 8mila euro.

L’ingiunta proponeva opposizione innanzi al Tribunale di Sondrio assumendo di non essere titolare del trattamento dati e di conseguenza non tenuta al detto obbligo. Avverso la decisione del Tribunale lombardo di accoglimento delle ragioni della società, il Garante ricorreva per saltum in Cassazione.

Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano

(Nella foto: l'Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano)

La Suprema Corte dà ragione al Garante quando questi argomenta che la società di trasporti riveste, nelle condizioni date, il ruolo di titolare del trattamento, e ciò semplicemente per avere avuto la disponibilità delle credenziali di accesso ai dati di geolocalizzazione, a nulla rilevando il concreto accesso ai (o utilizzo dei) medesimi.

La società di trasporti, invero, aveva a disposizione le credenziali di accesso ai dati di geolocalizzazione dei clienti, e si era vista trasferire dalla fornitrice delle stesse la possibilità di esercitare in maniera autonoma il potere decisionale sulle finalità e sulle modalità del trattamento: per ciò solo essa rientrava pienamente nell’alveo dell’art. 28 del Codice Privacy.

Viene quindi evidenziato il seguente principio di diritto: “… la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente ai fini della attribuzione a tale impresa della qualificazione di soggetto titolare del trattamento dei dati”.

Orbene, citando le Linee Guida n. 7 del 2020 del Comitato Europeo per la protezione dei dati (EDPB), il concetto di titolarità dev’essere basato “sull’analisi fattuale e non formale”, ovvero “sull’analisi delle circostanze concrete del trattamento”.

Per essere titolari non è, neppure, necessario che si abbia effettivamente accesso ai dati oggetto del trattamento.

Al contrario, in taluni casi, è da ritenersi Titolare anche colui che non avrà mai accesso effettivo ai dati. Il punto, quindi, non è se il soggetto abbia avuto o meno effettivamente accesso ai dati. Al contrario, determi-nare le finalità e i mezzi essenziali del trattamento, (articolo 4 GDPR) equivale a decidere, rispettivamente, il “perché” e il “come” del trattamento.

Osservando la fattispecie da questo punto di vista, la conclusione della Corte appare condivisibile. Infatti, la società di trasporti determinava il perché del trattamento (geolocalizzazione dei propri automezzi) ed il come del trattamento e, questo, è sufficiente per renderla Titolare.

Note Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]

Prev Videosorveglianza sulle parti comuni del condominio per un legittimo interesse in presenza di un reale pericolo
Next Funzione IT e incompatibilità con il ruolo di Data Protection officer: la lezione del Garante Privacy su metodo e criteri di valutazione

Privacy Day Forum 2023: il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy