02 February, 2024

Gli obblighi del sub-responsabile del trattamento

La Cassazione ha respinto il ricorso di una società che operava nel settore dei parcometri e trattava i dati personali delle targhe delle auto senza essere designata sub-responsabile. La sentenza conferma le sanzioni del Garante, sottolinea l’obbligo di tenuta del registro dei trattamenti e afferma che le targhe sono dati personali secondo il GDPR

Con una recente pronuncia la Suprema Corte ha respinto il ricorso di una società romana che operava nel settore dei parcometri, rilevando le targhe delle autovetture con la finalità di verificare – e, se del caso, sanzionare – il corretto pagamento del periodo di sosta nelle aree a pagamento.

La società non era stata designata quale sub-responsabile del trattamento e non aveva predisposto un autonomo registro dei trattamenti ed era stata sanzionata dall’Autorità Garante per il trattamento dei dati personali. Come se ciò non bastasse, aveva anche sostenuto, nelle proprie difese, la – inverosimile – tesi per cui le targhe delle autovetture non sarebbero state da considerare “dato personale”.

La sentenza della Prima Sezione Civile della Corte di cassazione

La società era stata sanzionata dal garante privacy con ordinanza ingiunzione per 30.000 euro per aver trattato i dati personali degli utenti – nello specifico le targhe delle autovetture –

“i) senza essere stata previamente nominata quale sub-responsabile per il trattamento e, dunque, in assenza dei requisiti di interesse pubblico che insistono in capo al titolare effettivo del trattamento stesso”

“ii) di non aver adottato i prescritti registri di trattamento, indispensabili per valutare la conformità dei trattamenti alla disciplina in materia di protezione dei dati personali”.

Le difese della società

La difesa della società era consistita nell’aver trattato i dati degli utenti in virtù di un contratto di natura privatistica con la società controllante, di aver agito nello svolgimento di un servizio pubblico – e di essere quindi “coperta” dal pubblico interesse – che i dati trattati (le targhe delle autovetture) non erano dati personali, data la difficoltà a risalire dalla targa al proprietario mediante verifiche al PRA e, infine, di aver agito per contrastare le frodi (utilizzo dello stesso ticket per più veicoli).

Sulla mancata predisposizione del registro dei trattamenti, la società si è difesa invocando il “richiamo” al registro predisposto dalla controllante.

Perché i motivi del ricorso sono stati ritenuti insostenibili

La Cassazione ha dichiarato i motivi di ricorso infondati e inammissibili, sia in termini di applicazione del diritto sostanziale che in ragione di vizi di inammissibilità dell’impugnazione (che qui non interessano).

Quanto ai primi, la Suprema Corte ha affermato che il trattamento dei dati in difetto di nomina a sub-responsabile costituiva una violazione degli articoli 5, 6 e 30 del GDPR e che, in definitiva, in assenza di detta nomina il trattamento doveva essere considerato privo di condizioni di liceità.

A nulla, quindi, valevano le difese relative alla presenza di un contratto, di un interesse pubblico – determinato dall’attività di pubblico servizio espletata dalla società ricorrente – e la finalità di evitare frodi evocata nel ricorso.

Liquidata, pure, in modo inglorioso la temeraria affermazione per cui le targhe delle autovetture non costituirebbero dato personale come, invece, è ovvio che sia per la definizione stessa contenuta nel GDPR di “dato personale”.

L’obbligo di tenuta del registro dei trattamenti secondo la Corte

Sull’obbligo di tenuta del registro de trattamenti, la Corte ha ugualmente riconosciuto l’obbligo in capo alla società ricorrente, non potendosi esimere quest’ultima perché al di sotto dei 250 dipendenti e in ragione de “richiamo” al registro della controllante.

Questo in primo luogo perché i trattamenti erano massivi e non occasionali e, quindi, si rientrava pienamente nelle ipotesi previste dall’articolo 30 del GDPR, che prevede ipotesi alternative e non cumulative di obbligo di tenuta deli registri.

In secondo luogo, il richiamo al registro della controllante non poteva in alcun modo assolvere all’obbligo di tenuta del registro da parte della controllata, data – anche – diversità dei trattamenti effettuati.

Anche in questo caso, quindi, il rigetto è stato determinato da questioni sostanziali oltre che procedurali.

Riflessioni sugli obblighi derivanti dal GDPR sulle società

La sentenza numero 35256 del 2023 della Prima Sezione della Corte di cassazione offre spunti interessanti in termini di inquadramento generale degli obblighi derivanti dal GDPR sulle società che hanno struttura complessa.

Il difetto di nomina a sub-responsabile è, sostanzialmente, insanabile e rende il trattamento dei dati illecito per difetto di condizione di liceità: il resto delle considerazioni “cede” rispetto a questo presupposto.

Questo significa che l’organigramma privacy deve essere correttamente tracciato e adeguatamente impostato in sede di impostazione della privacy by design.

Una domanda, a latere sorge, infatti, spontanea: la controllante, che non aveva designato la controllata sub-responsabile e non aveva verificato la correttezza della compliance in capo a quest’ultima, è stata sanzionata per violazione degli articoli 25 e 28 del GDPR?

Perché quel che si legge dalla sentenza della Cassazione porterebbe a una risposta affermativa – seppure per implicito.

Altro ordine di considerazioni: il responsabile ex articolo 28 del GDPR (responsabile esterno o sub-responsabile non cambia) deve tenere due distinti registri: il registro dei trattamenti come titolare e quello dei trattamenti come responsabile.

Il documento può anche essere unico, ma le tipologie dei trattamenti devono essere chiaramente distinte, così come le finalità e le basi giuridiche (il resto potrebbe, in linea di principio essere anche comune ad entrambe le ipotesi).

Non è quindi ipotizzabile la tenuta in giudizio della difesa relativa al registro dei trattamenti tenuto per relationem con quello della controllata.

C’è, poi, un conclusivo rilievo: la difesa per cui le targhe delle autovettura non costituiscono dati personali è indice – se riferita effettivamente ai soggetti operanti nella società stessa e non al loro avvocato – di mancata formazione del personale addetto in materia di trattamento dei dati personali.

Si tratterebbe, in ipotesi, di un altro elemento in violazione – almeno – dell’articolo 25 del GDPR.

News ripresa da AGENDA DIGITALE

Altre News

  • 25 July, 2024Prenota le vacanze, ma attenzione alla privacy!
  • 19 July, 2024Problemi a milioni di utenti di Microsoft Windows nel mondo
  • 12 July, 2024Scoperto in un forum di hacking un file contenente quasi 10 miliardi di password uniche in chiaro
  • 03 July, 2024RELAZIONE ANNO 2023 SULL’ATTIVITÀ DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
  • 26 June, 2024Se l'azienda assume lavoratori la videosorveglianza è da disattivare fino all’autorizzazione
  • 18 June, 2024Il Whistleblowing e conseguenze: NO alle ritorsioni sul whistleblower!
  • 14 June, 2024Concorsi della P.A.: online solo le graduatorie definitive dei vincitori
  • 14 June, 2024Garante Privacy: il GDPR vale anche per Wikipedia
  • 05 June, 2024Intelligenza artificiale: dal Garante privacy le indicazioni per difendere i dati personali dal web scraping
  • 24 May, 2024Mantenere attiva l’email aziendale dopo la cessazione del rapporto di lavoro per ‘garantire la continuità operativa’ viola la privacy dell’ ex dipendente
  • 20 May, 2024Attenzione ai controlli tramite strumenti automatizzati
  • 20 May, 2024Data breach: non libera da responsabilità neppure l'assenza di danni per gli interessati
  • 10 May, 2024Sanzionato l'hotel che aveva installato le telecamere di videosorveglianza che puntavano direttamente sulla strada e sulle proprietà altrui
  • 03 May, 2024Rivelare i propri dati sensibili in pubblico non significa che Facebook possa usarli a suo piacimento
  • 26 April, 2024Attacco hacker a Synlab Italia, sospese le attività di laboratori e centri medici che effettuano più di 35 milioni di analisi all'anno
  • 26 April, 2024L'app di dating online Grindr denunciata per aver condiviso informazioni sullo status HIV dei propri utenti
  • 19 April, 2024Il metodo ‘dai il consenso o paga’ viola la privacy degli utenti
  • 12 April, 2024Al corriere rubano un pacco contenente documenti dei clienti, ma la banca tace e viene sanzionata per mancata notifica del data breach
  • 04 April, 2024AI ACT: le basi del regolamento sull'Intelligenza Artificiale
  • 03 April, 2024Collegamento via web e app tra medico e paziente: il compendio del Garante
  • 28 March, 2024Auguri di buona Pasqua
  • 27 March, 2024Regolamento sull'Intelligenza Artificiale, l’utente deve sempre sapere se sta interagendo con un robot
  • 13 March, 2024Attacchi cyber, Italia più vulnerabile: i dati del rapporto Clusit 2024
  • 01 March, 2024SOSPESO IL LIMITE DI CONSERVAZIONE DEI METADATI
  • 23 February, 2024Email e metadati, i dubbi da DPO sul provvedimento del Garante Privacy
  • 16 February, 2024Più privacy per i siti web e BASTA dark pattern!
  • 14 February, 2024Attacco hacker all'Italia per sostenere gli agricoltori
  • 14 February, 2024Ricette mediche all’esterno dello studio: sanzionato un medico
  • 02 February, 2024Installare un dispositivo gps nell’auto dell’ex non integra il reato di interferenze illecite nella vita privata