Una recente sentenza della Corte di cassazione ribadisce l’importanza di chiarire i ruoli privacy all’interno della struttura aziendale. Non solo: i Giudici di legittimità sottolineano anche che l’attribuzione dei ruoli deve necessariamente seguire la realtà dei fatti. In altri termini: non è possibile pensare di “cavarsela” assegnando attribuzioni di facciata. La definizione dei ruoli privacy, infatti, deve essere strettamente attinente ai compiti e ai poteri effettivamente attribuiti al singolo ufficio o alla singola figura.
Il datore di lavoro è titolare del trattamento anche se l’impianto è stato installato da un terzo
La vicenda trae spunto da una sanzione comminata dal Garante privacy ad una azienda di trasporto merci su strada. Dopo aver dotato i propri automezzi di un impianto di rilevamento satellitare, l’azienda non ha ritenuto di essere tenuta a rispettare alcuni obblighi che la legge pone a carico del titolare del trattamento. Per “titolare” si intende quel soggetto che determina finalità e mezzi del trattamento di dati personali, ovvero il soggetto apicale, quello che decide che dati trattare, per quali scopi e in che modo. In questo caso, l’azienda ha ritenuto che la titolarità spettasse alla società ideatrice e fornitrice del sistema di localizzazione.
Il ragionamento seguito è quello che, nella prassi, viene spesso ripetuto da chi “liquida” la normativa privacy come semplice – e fastidiosa – burocrazia. La ditta di trasporti non ritiene di essere “titolare” perché non ha mai visualizzato i dati di localizzazione e, pur disponendo delle credenziali di accesso al programma di controllo, non dispone di personale abilitato. Insomma, scarica ogni responsabilità sul fornitore, sul presupposto che sia esso, in quanto dotato del know-how specifico, l’unico soggetto rilevante.
Conta il potere di disporre dei dati e di gestirli
Il Garante, come detto, sanziona l’azienda, che però ricorre in tribunale. In quella sede, la spunta, ma il Garante – a sua volta – impugna la decisione, portando il caso davanti alla Cassazione. Che, chiudendo la vertenza, dà ragione all’Autorità. Il titolare del trattamento, si legge nell’ordinanza n. 26969/2023, è il soggetto che ha a disposizione i dati e può gestirli. In questo caso, l’azienda, avendo installato il sistema di geolocalizzazione, dispone dei dati e ne ha pieno accesso, attraverso le credenziali. Il potere decisionale sui dati, quindi, era assolutamente in sue mani.
Disporre di questo potere significa essere titolare del trattamento. Significa, cioè, essere quel soggetto che stabilisce le finalità e i mezzi del trattamento. Ed in effetti, è stata l’azienda a decidere di installare il sistema di geolocalizzazione, che – appunto – coinvolge i suoi automezzi. I dati così generati riguardano i dipendenti dell’azienda. Ed è a quest’ultima che il fornitore ha consegnato le credenziali di accesso ai dati, confermando ulteriormente il ruolo apicale. Nascondersi, quindi, non è possibile. Essere multati, invece, sì.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale