Le normative europea e italiana disciplinano in modo approfondito il tema della protezione dei dati personali, anche nel caso in cui a gestire i dati siano soggetti privati come le imprese.
Sul piano europeo, il GDPR (General Data Protection Regulation) stabilisce che il trattamento dei dati personali deve avvenire in modo lecito, corretto e trasparente. Al fine di garantire la trasparenza, a chi tratta dati personali sono imposti determinati obblighi, tra cui la consegna di un’informativa all’interessato, l’illustrazione delle finalità del trattamento e delle modalità di gestione dei dati, nonché il recepimento del consenso dell’interessato.
A seconda del tipo di dato e delle specifiche modalità di raccolta, possono sussistere dubbi in merito a chi sia l’effettivo titolare del trattamento dei dati personali, ossia il soggetto su cui ricadono gli obblighi in materia di privacy.
Il Tribunale di Sondrio, in una controversia tra il Garante per la protezione dei dati personali e un’impresa esercente attività di trasporto merci su strada, aveva rilevato che l’impresa in questione non poteva definirsi titolare del trattamento dei dati raccolti mediante il sistema di geolocalizzazione installato sui propri mezzi, e dunque non era soggetta agli obblighi imposti dalla normativa in materia di privacy. Infatti, il sistema era stato sviluppato da un’altra azienda, che ne conservava il database; mentre l’azienda di trasporti, pur avendo le credenziali di accesso ai dati di geolocalizzazione, non li aveva mai visualizzati, non avendo personale adibito a ciò.
La sentenza del Tribunale viene ribaltata in cassazione. Con ordinanza n. 26987 del 21/09/2023, la Corte di Cassazione afferma che la circostanza per cui il dispositivo di geolocalizzazione era stato fornito da un’altra azienda non esclude automaticamente che l’impresa utilizzatrice possa essere considerata titolare del trattamento dei dati personali. Punto decisivo, secondo la Cassazione, è che l’impresa di trasporti disponeva delle credenziali di accesso ai dati di geolocalizzazione; dunque, l’azienda era in grado di visualizzare e gestire i dati, decidendone modalità e finalità di trattamento, del tutto autonomamente rispetto all’azienda fornitrice del sistema di geolocalizzazione.
Tanto basta per ritenere l’impresa di trasporti titolare del trattamento dei dati raccolti e soggetta, dunque, agli obblighi in materia di privacy.
Foto di cottonbro studio