La Suprema Corte ha ritenuto fondato il ricorso del Garante Privacy affermando “in materia di protezione dei dati” un nuovo principio sulla traslazione del potere di accesso agli stessi.
Per la Cassazione non è corretta la decisione del Tribunale di annullare la sanzione amministrativa per mancanza di comunicazione all'Autorità. Il caso riguardava il trasporto di merci su strada conto terzi. L'impresa di trasporti proponeva opposizione contro l'ordinanza-ingiunzione del Garante Privacy per il pagamento della sanzione per non aver provveduto alla notificazione prevista in relazione all'uso di un sistema di geolocalizzazione installato sui propri mezzi di trasporto merci su strada. Il Tribunale aveva concluso che l'impresa di spedizioni aveva «autonomamente ideato e sviluppato le funzionalità per poter fornire i propri servizi ai propri clienti», essendosi l'impresa di trasporti limitata a fornire alla prima gli automezzi con gli autisti. Quindi solo l'impresa di spedizioni aveva gestito il sistema di geolocalizzazione avendo a disposizione il data base e l'impresa di trasporto non aveva effettuato accessi né visualizzato dati. La Cassazione nell'accogliere il ricorso del Garante Privacy - per violazione e falsa applicazione degli articolo 4, primo comma, lett. f , e 28 del codice privacy, oltre che dell'articolo 2, lett. d , della Direttiva 95/46-CE – sottolinea come l'azienda esercente l'attività di trasporto delle merci su strada, avesse avuto la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti e questo «di per sé rappresenta un indice significativo del fatto di essere stata trasferita su tale società la possibilità di esercitare in maniera autonoma dalla fornitrice delle credenziali quel potere decisionale sulle finalità e sulle modalità del trattamento al quale allude giustappunto l'articolo 28 del codice privacy. E tanto basta per fare di essa il titolare del trattamento dei dati.» In conclusione, la Corte accoglie il ricorso e rinvia la causa al Tribunale che dovrà applicare il seguente principio di diritto «Ai fini dell'articolo 28 del codice privacy, titolare del trattamento dei dati personali, in caso di persona giuridica, associazione o ente, è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza ne consegue che, in caso di impresa esercente l'attività di trasporto di merci su strada per conto terzi, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente ai fini della attribuzione a tale impresa della qualificazione di soggetto titolare del trattamento dei dati».
Presidente Genovese – Relatore Terrusi Fatti di causa La omissis s.r.l. propose opposizione avverso l'ordinanza-ingiunzione notificatale dal Garante della privacy nel giugno 2018, per il pagamento della sanzione amministrativa di 8.000,00 EUR, conseguente alla violazione degli articolo 37 e 38 del D.Lgs. numero 196 del 2003 codice privacy per aver omesso di provvedere alla notificazione prevista dall'articolo 37 comma 1 lett. a in relazione all'uso di un sistema di geolocalizzazione installato sui propri mezzi di trasporto di merci su strada. Nella resistenza del Garante l'adito tribunale di […] ha accolto l'opposizione sul rilievo che il sistema di geolocalizzazione era stato fornito dalla omissis s.p.a., che ne aveva autonomamente ideato e sviluppato le funzionalità per poter fornire i propri servizi ai propri clienti mentre la […]si era limitata a fornire alla omissis gli automezzi con gli autisti. Su tale base, comprovata dalle deposizioni testimoniali, il tribunale ha concluso nel senso che solo ed esclusivamente omissis s.p.a. aveva gestito il sistema di geolocalizzazione, avendo a disposizione il data base. Ha aggiunto che sempre dalla prova per testi era emerso che sebbene fossero state create le credenziali di accesso per tutte le ditte che lavorano con omissis la […] non aveva mai effettuato alcun accesso e mai visualizzato i dati di geolocalizzazione non avendo personale a ciò adibito , e che in ogni caso la creazione delle credenziali era avvenuta in modo automatico dal parte del sistema informatico della omissis , senza alcuna espressa richiesta in tal senso . Per tali ragioni - ritenute assorbenti - ha quindi annullato l'ordinanza-ingiunzione. Il Garante della privacy ha impugnato la sentenza non notificata con ricorso per cassazione affidato a un unico motivo. L'intimata non ha svolto difese. Ragioni della decisione I. - Con l'unico motivo il ricorrente assume violazione e falsa applicazione degli articolo 4, comma 1, lett. f , e 28 del codice privacy, oltre che dell'articolo 2, lett. d , della Direttiva 95/46-CE, perché la circostanza enfatizzata dal tribunale non esclude che la […] abbia rivestito, nelle condizioni date, il ruolo di titolare del trattamento. Difatti, avendo avuto per l'appunto la disponibilità delle credenziali di accesso ai dati di geolocalizzazione, essa stessa era divenuta titolare del trattamento di cui si discute. II. - Il ricorso è fondato. È abbastanza evidente che il tribunale di […], nel rendere la motivazione appena sopra sintetizzata, non ha compreso il problema giuridico implicato dalla controversia. L'articolo 28 del codice privacy, vigente ratione temporis, dispone che quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza . Questa Corte, con massima consolidata, va ripetendo che a fronte della norma citata il titolare del trattamento è per l'appunto la persona giuridica che in sé abbia a disposizione i dati e possa conseguentemente gestirli v. Cass. Sez. 2 numero 18292-20, Cass. Sez. 6-2 numero 8184-14 . III. - Non poteva il tribunale escludere l'illiceità della condotta contestata alla […] sulla mera e ininfluente considerazione che il sistema di geolocalizzazione era stato alla stessa fornito dalla omissis s.p.a. nè poteva farlo sul rilievo che sempre la omissis aveva autonomamente ideato e sviluppato le funzionalità di quel sistema per la fornitura dei propri servizi. Ciò non possiede alcuna rilevanza onde escludere in capo alla […] la qualifica di soggetto titolare del trattamento dei dati. Il punto decisivo, completamente trascurato dal tribunale, risulta di contro finanche affermato nella stessa motivazione, ed era costituito - invece - dall'avere avuto la […], esercente l'attività di trasporto delle merci su strada, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti. Questa cosa di per sé rappresenta un indice significativo del fatto di essere stata trasferita su tale società la possibilità di esercitare in maniera autonoma dalla fornitrice delle credenziali quel potere decisionale sulle finalità e sulle modalità del trattamento al quale allude giustappunto l'articolo 28 del codice privacy. E tanto basta per fare di essa il titolare del trattamento dei dati. IV. - La sentenza va quindi cassata. Emergendo dalla motivazione l'esistenza di questioni assorbite, alla cassazione deve seguire il rinvio. Il tribunale di […], designato quale giudice del rinvio in diversa composizione, rinnoverà il giudizio attenendosi al seguente principio - ai fini dell'articolo 28 del codice privacy, titolare del trattamento dei dati personali, in caso di persona giuridica, associazione o ente, è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza ne consegue che, in caso di impresa esercente l'attività di trasporto di merci su strada per conto terzi, la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione dei clienti è condizione sufficiente ai fini della attribuzione a tale impresa della qualificazione di soggetto titolare del trattamento dei dati. Il tribunale provvederà anche sulle spese della fase di legittimità. p.q.m. La Corte accoglie il ricorso, cassa la sentenza impugnata e rinvia al tribunale di […] anche per le spese del giudizio di cassazione. Dispone che, in caso di diffusione della presente ordinanza, siano omesse le generalità e gli altri dati significativi.