Con una recente pronuncia la Suprema Corte ha respinto il ricorso di una società romana che operava nel settore dei parcometri, rilevando le targhe delle autovetture con la finalità di verificare – e, se del caso, sanzionare – il corretto pagamento del periodo di sosta nelle aree a pagamento.
La società non era stata designata quale sub-responsabile del trattamento e non aveva predisposto un autonomo registro dei trattamenti ed era stata sanzionata dall’Autorità Garante per il trattamento dei dati personali. Come se ciò non bastasse, aveva anche sostenuto, nelle proprie difese, la – inverosimile – tesi per cui le targhe delle autovetture non sarebbero state da considerare “dato personale”.
Vediamo come ha risposto la Cassazione – possiamo anticipare: in modo piuttosto “netto”.
La sentenza della Prima Sezione Civile della Corte di cassazione
La sentenza è stata pronunciata il 14 dicembre 2023 ed ha rigettato il ricorso della società controllata in mano pubblica che gestiva i parcometri.
La società era stata sanzionata dal garante privacy con ordinanza ingiunzione per 30.000 euro per aver trattato i dati personali degli utenti – nello specifico le targhe delle autovetture – “i) senza essere stata previamente nominata quale sub-responsabile per il trattamento e, dunque, in assenza dei requisiti di interesse pubblico che insistono in capo al titolare effettivo del trattamento stesso” e “ii) di non aver adottato i prescritti registri di trattamento, indispensabili per valutare la conformità dei trattamenti alla disciplina in materia di protezione dei dati personali”.
Le difese della società
La difesa della società era consistita nell’aver trattato i dati degli utenti in virtù di un contratto di natura privatistica con la società controllante, di aver agito nello svolgimento di un servizio pubblico – e di essere quindi “coperta” dal pubblico interesse – che i dati trattati (le targhe delle autovetture) non erano dati personali, data la difficoltà a risalire dalla targa al proprietario mediante verifiche al PRA e, infine, di aver agito per contrastare le frodi (utilizzo dello stesso ticket per più veicoli).
Sulla mancata predisposizione del registro dei trattamenti, la società si è difesa invocando il “richiamo” al registro predisposto dalla controllante.
Perché i motivi del ricorso sono stati ritenuti insostenibili
La Cassazione ha dichiarato i motivi di ricorso infondati e inammissibili, sia in termini di applicazione del diritto sostanziale che in ragione di vizi di inammissibilità dell’impugnazione (che qui non interessano).
Quanto ai primi, la Suprema Corte ha affermato che il trattamento dei dati in difetto di nomina a sub-responsabile costituiva una violazione degli articoli 5, 6 e 30 del GDPR e che, in definitiva, in assenza di detta nomina il trattamento doveva essere considerato privo di condizioni di liceità.
A nulla, quindi, valevano le difese relative alla presenza di un contratto, di un interesse pubblico – determinato dall’attività di pubblico servizio espletata dalla società ricorrente – e la finalità di evitare frodi evocata nel ricorso.
Liquidata, pure, in modo inglorioso la temeraria affermazione per cui le targhe delle autovetture non costituirebbero dato personale come, invece, è ovvio che sia per la definizione stessa contenuta nel GDPR di “dato personale”.
L’obbligo di tenuta del registro dei trattamenti secondo la Corte
Sull’obbligo di tenuta del registro de trattamenti, la Corte ha ugualmente riconosciuto l’obbligo in capo alla società ricorrente, non potendosi esimere quest’ultima perché al di sotto dei 250 dipendenti e in ragione de “richiamo” al registro della controllante.
Questo in primo luogo perché i trattamenti erano massivi e non occasionali e, quindi, si rientrava pienamente nelle ipotesi previste dall’articolo 30 del GDPR, che prevede ipotesi alternative e non cumulative di obbligo di tenuta deli registri.
In secondo luogo, il richiamo al registro della controllante non poteva in alcun modo assolvere all’obbligo di tenuta del registro da parte della controllata, data – anche – diversità dei trattamenti effettuati.
Anche in questo caso, quindi, il rigetto è stato determinato da questioni sostanziali oltre che procedurali.
Riflessioni sugli obblighi derivanti dal GDPR sulle società
La sentenza numero 35256 del 2023 della Prima Sezione della Corte di cassazione offre spunti interessanti in termini di inquadramento generale degli obblighi derivanti dal GDPR sulle società che hanno struttura complessa.
Il difetto di nomina a sub-responsabile è, sostanzialmente, insanabile e rende il trattamento dei dati illecito per difetto di condizione di liceità: il resto delle considerazioni “cede” rispetto a questo presupposto.
Questo significa che l’organigramma privacy deve essere correttamente tracciato e adeguatamente impostato in sede di impostazione della privacy by design.
Una domanda, a latere sorge, infatti, spontanea: la controllante, che non aveva designato la controllata sub-responsabile e non aveva verificato la correttezza della compliance in capo a quest’ultima, è stata sanzionata per violazione degli articoli 25 e 28 del GDPR?
Perché quel che si legge dalla sentenza della Cassazione porterebbe a una risposta affermativa – seppure per implicito.
Altro ordine di considerazioni: il responsabile ex articolo 28 del GDPR (responsabile esterno o sub-responsabile non cambia) deve tenere due distinti registri: il registro dei trattamenti come titolare e quello dei trattamenti come responsabile.
Il documento può anche essere unico, ma le tipologie dei trattamenti devono essere chiaramente distinte, così come le finalità e le basi giuridiche (il resto potrebbe, in linea di principio essere anche comune ad entrambe le ipotesi).
Non è quindi ipotizzabile la tenuta in giudizio della difesa relativa al registro dei trattamenti tenuto per relationem con quello della controllata.
C’è, poi, un conclusivo rilievo: la difesa per cui le targhe delle autovettura non costituiscono dati personali è indice – se riferita effettivamente ai soggetti operanti nella società stessa e non al loro avvocato – di mancata formazione del personale addetto in materia di trattamento dei dati personali.
Si tratterebbe, in ipotesi, di un altro elemento in violazione – almeno – dell’articolo 25 del GDPR.