Con l’ordinanza n. 35256/2023, la Corte di cassazione offre lo spunto per fare chiarezza su due questioni in materia di protezione dati personali che spesso molti addetti ai lavori tendono a liquidare in modo frettoloso. Si tratta, in particolare, del concetto di “dato personale” e del rapporto tra accordi contrattuali e rispetto del GDPR.

La targa di un veicolo è un dato personale

La vicenda processuale parte con un provvedimento del Garante Privacy, che ha sanzionato una società gestrice di un sistema di pagamento della sosta di autoveicoli. La società operava per conto del soggetto realmente titolare del potere di imporre un prezzo (e di riscuoterlo) per la sosta, ovvero il Comune. Il sistema di tracciamento sosta e riscossione del ticket funzionava sul presupposto del rilevamento della targa dei singoli autoveicoli.

Il primo punto chiarito, si diceva nell’introduzione, è quello relativo al concetto di “dato personale”, che, appunto, contempla anche la targa di un veicolo. La ragione, spesso dimenticata, è che con tale termine si indica qualsiasi informazione riferita ad un soggetto identificato o identificabile. La targa è inscindibilmente associata al proprietario di un veicolo. Nel caso in cui tale soggetto sia una persona fisica, la sequenza alfanumerica diventa un dato personale, proprio perché il soggetto è identificabile, attraverso una verifica al PRA.

La nomina a responsabile del trattamento

L’altro aspetto degno di menzione è quello relativo agli obblighi che investono i soggetti che trattano dati personali, in questo caso la società di gestione. Tra gli incombenti imposti dal GDPR, ad esempio, c’è l’istituzione di un registro dei trattamenti. Nel caso di trattamenti svolti per conto altrui, c’è anche la nomina a responsabile.

La nomina è atto attraverso il quale il titolare del trattamento detta i compiti al responsabile. Sostanzialmente, definisce l’area operativa, stabilendo quali attività compiere e quali modalità seguire. In assenza di tale atto, il responsabile che tratta i dati personali agisce illegittimamente. Questo significa che esso ha tutto l’interesse a pretendere che si proceda a stipulare l’atto di nomina, prima di cominciare la sua attività. E poco importa, dice la Cassazione, che tale pretesa, ritardando l’inizio dell’adempimento, esponga il responsabile al pagamento di penali.

Il rispetto degli obblighi imposti dal GDPR non deve soccombere davanti agli impegni contrattuali assunti tra le parti. Pertanto, se due soggetti, come in questo caso, si accordano tra di loro affinché uno esegua un compito impartito dall’altro, non possono trascurare le prescrizioni privacy. Il responsabile che non abbia ricevuto la nomina, quindi, non può operare. Se lo fa, magari evita che il titolare agiti lo spettro della penale per il ritardo, ma rischia che arrivi il Garante a sanzionarlo.

ULTIMI ARTICOLI
TAG
assegno banca Codice della Strada Codice della Strada condominio consumatore conto corrente convegno coronavirus danno dieselgate diffamazione divorzio educazione civica Facebook famiglia famiglia gorizia gorizia guida in stato di ebbrezza immobile incidente Internet locazione penale penale privacy probono probono RCA reato Responsabilità civile Responsabilità civile risarcimento risarcimento danni risarcimento danni scuola separazione Sinistri stradali stradale telelaser trieste turismo vendita giudiziaria video
CERCA NEL SITO