M

Questo sito fa uso di cookie tecnici per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Per maggiori informazioni si veda la Cookie Policy.

La definizione dei ruoli nel trattamento dei dati personali

La Corte di Cassazione, con l’ordinanza n. 26969 del 21 settembre 2023, si è espressa in merito alla definizione dei ruoli nel trattamento dei dati personali.

In particolare, la Suprema Corte ha confermato che il titolare del trattamento dei dati è anche colui che, pur non disponendone direttamente, possa agevolmente entrare in loro possesso.

Nella vicenda in oggetto, una società per azioni metteva a disposizione di una società a responsabilità limitata degli automezzi necessari per consentire ai dipendenti delle delegata di svolgere attività di facchinaggio.

Gli automezzi della committente, peraltro, erano dotati di un sistema di geolocalizzazione utile al fine di consultare gli spostamenti degli autisti, conservando i dati di geolocalizzazione raccolti.

Nell’ambito di tali rapporti, il Garante della Privacy sanzionava la società di trasporto delegata, ai sensi degli articoli 37 e 38 del D.lgs. n. 196 del 2003, per aver omesso di provvedere alla notificazione ex art. 37 comma 1, lett. a), ritenendo che tale società, una volta ricevute dalla committente le credenziali per accedere ai dati inviati dal sistema di geolocalizzazione, avrebbe avuto accesso agli stessi e, quindi, dovesse anch’essa considerarsi come titolare del trattamento.

La società delegata proponeva opposizione avverso l’ordinanza-ingiunzione notificata dal Garante.

Il Tribunale di Sondrio, in seguito alla resistenza del Garante della Privacy, accoglieva l’opposizione della società delegata evidenziando che, posto che il sistema di geolocalizzazione era stato fornito dalla società committente, che aveva autonomamente ideato le funzionalità al fine di fornire i propri servizi ai propri clienti, e che la delegata non aveva mai acceduto a tali dati, quest’ultima non potesse considerarsi come titolare del trattamento degli stessi.

Avverso la sentenza del Tribunale presentava ricorso per cassazione il Garante della Privacy, lamentando la violazione e falsa applicazione degli artt. 4 e 28 del codice privacy, posto che la circostanza dell’omesso accesso ai dati era inidonea ad escludere la possibilità di configurare la società di trasporto delegata come titolare del trattamento.

La Corte di Cassazione, nel rendere la motivazione, specificava che il Tribunale di Sondrio non avesse compreso il problema giuridico della controversia.

Difatti, secondo la Suprema Corte, avendo la società delegata avuto la disponibilità delle credenziali di accesso ai dati di geolocalizzazione, essa era divenuta automaticamente titolare del trattamento dei dati personali. L’art. 28 del codice della privacy, infatti, specifica che quando il trattamento è effettuato da persona giuridica, da una pubblica amministrazione o da altro ente, il titolare del trattamento è colui che esercita “il potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”.

Tale definizione, dunque, specifica il ruolo del titolare dei dati personali, identificando il soggetto in quella “persona giuridica che in sé abbia a disposizione i dati e possa conseguentemente gestirli”.

Sulla base di tali motivazioni, a prescindere dall’effettivo conoscenza o meno dei dati, nel caso in esame la società delegata, potendo liberamente accedere agli stessi, doveva considerarsi titolare del trattamento.

Data di pubblicazione
10.11.2023
Argomento trattato
Data Protection

Iscrizione Newsletter

Share