Con la sentenza n. 26969/2023 la Corte di Cassazione torna ad esprimersi sulla titolarità del trattamento dati, riprendendo il proprio consolidato orientamento secondo cui i concetti di Titolare del trattamento e di Responsabile del trattamento devono essere intesi non in accezione formale ma come “funzionali”, mirando gli stessi a ripartire le responsabilità in funzione dei ruoli effettivi delle parti.
Per tale motivo, la disposizione dei dati e la possibilità di gestirli può bastare per qualificare la persona giuridica quale Titolare del trattamento.
Il caso
Una società del settore logistico impugnava l’ordinanza-ingiunzione notificatale dal Garante per la protezione dei dati personali con la quale si comminava una sanzione amministrativa pecuniaria conseguente alla violazione del Codice Privacy, in relazione all’uso di un sistema di geolocalizzazione ideato da un’altra società, che era stato poi installato sui mezzi di trasporto merci della società ingiunta.
In particolare, l’ingiunta contestava che il relativo database era sempre rimasto nella piena disponibilità della società ideatrice, non avendo né mai effettuato accessi al programma né mai visualizzato i rispettivi dati, dato che il sistema informatico fornito dalla società ideatrice creava in modo automatico le relative credenziali.
Il Tribunale di Sondrio aveva accolto l’opposizione della società del settore logistico e aveva pertanto annullato l’ordinanza-ingiunzione emessa dal Garante per la protezione dei dati personali, in quanto solo ed esclusivamente la società fornitrice aveva gestito il sistema di geolocalizzazione, avendo a disposizione il database.
Il Garante per la protezione dei dati personali impugnava la sentenza con ricorso per Cassazione, sostenendo che la società di trasporti rivestiva il ruolo di Titolare del trattamento, e ciò semplicemente per avere avuto la disponibilità delle credenziali di accesso ai dati di geolocalizzazione, a nulla rilevando il concreto accesso o utilizzo dei medesimi.
La decisione
Con la sentenza del 14 settembre 2023 la Cassazione ha accolto il ricorso del Garante per la protezione dei dati personali, richiamando la massima consolidata in virtù della quale: “Il Titolare del trattamento è per l’appunto la persona giuridica che in sé abbia a disposizione i dati e possa conseguentemente gestirli “ (Cass. n. 18292/2020; Cass. 8184/2014).
Difatti, secondo la Corte di Cassazione, la sola messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti alla società del settore logistico di per sé rappresenta un indice significativo del fatto di essere stata trasferita su tale società la possibilità di esercitare in maniera autonoma quel potere decisionale sulle finalità e sulle modalità del trattamento.
In altre parole, secondo gli Ermellini, per essere Titolari del trattamento non è necessario che si abbia effettivamente accesso ai dati oggetto del trattamento stesso. Al contrario, in taluni casi è da ritenersi Titolare anche colui che non avrà mai accesso effettivo ai dati.
E tanto basta per fare di essa il Titolare del trattamento dei dati e, dunque, riconoscere in capo ad essa l’incombenza di tutte le responsabilità e adempimenti che la normativa di riferimento (GDPR e codice privacy novellato) prevedono per il Titolare.