Parcometri, la società che gestisce i dati relativi alle targhe deve assumere la responsabilità del trattamento
Il trattamento di dati personali effettuato da un soggetto incaricato dal titolare, ma in assenza di investitura formale nel ruolo di responsabile o sub-responsabile, è illecito. Così la Cassazione conferma la pronuncia sanzionatoria del Garante Privacy, già impugnata inutilmente davanti al Tribunale che aveva appunto respinto l’opposizione al decreto ingiuntivo per il pagamento della sanzione pecuniaria comminata dall’Authority alla società che gestiva dati personali relativi all’uso dei parcometri su committenza di Atac Spa, formale responsabile del trattamento di cui è titolare Roma Capitale. La mancata designazione quale sub-responsabile della società di gestione dei nuovi parcometri da parte del responsabile Atac non è colmabile - come ha insistito fino in Cassazione la società ricorrente - dalle pattuizioni contrattuali cioè dagli obblighi di natura privatistica assunti verso la commettente.
La sentenza n. 35256/2023 della Cassazione civile ha ritenuto, al pari del Garante, insormontabile l’obbligo di designazione che, quindi, se non è adempiuto non consente alcun trattamento di dati personali da parte di un soggetto che non abbia assunto il ruolo formale specificato dal Regolamento privacy, come aggiornato al nuovo RGPD comunitario tramite il Dlgs 101/2018 in vigore dal settembre dello stesso anno.
Il vizio di motivazione denunciato dalla società ricorrente è stato rigettato dalla Cassazione che ha, invece, confermato il ragionamento del tribunale dove afferma che l’esistenza di obblighi contrattuali di natura privatistica, tra la società sanzionata e la committente, non può valere a giustificare un trattamento effettuato senza il rispetto delle previsioni regolamentari. Nel caso concreto è fuori discussione, che la ricorrente non fosse stata ancora designata sub-responsabile fino ad aprile 2019.
La decisione di legittimità conclude chiarendo che alcuna pattuizione contrattuale tra le parti avrebbe potuto consentire di aggirare gli obblighi di legge e di avallare condotte contra legem, nel caso di specifiche prescrizioni. Quindi nessuna designazione post avvio del trattamento può legittimare quello effettuato prima.
Infine, va rilevato che proprio la figura del sub-responsabile, di cui si è dibattuto in questa causa, era prevista anche prima dell’entrata in vigore del Regolamento.
Il dato personale costituito dalla targa
La società ricorrente contestava anche la natura di dato personale attribuito dal Garante alla targa automobilistica. Sosteneva, infatti, che essa consente solo di individuare il proprietario dell’autoveicolo e non di identificare l’effettivo conducente o i suoi personali spostamenti.
Da ciò voleva dimostrare l’irrilevanza dell’omessa nomina del sub-responsabile del trattamento prevista dall’articolo 28 del Regolamento.
La Cassazione, invece, conferma il ragionamento del tribunale nella parte in cui fonda il proprio convincimento partendo dall’assunto che la targa automobilistica sia da considerare a tutti gli effetti un dato personale. Infatti, la tutela privacy si estende anche a tutti quei dati che se anche non direttamente identificativi consentono un’identificazione indiretta del soggetto.
-U51138624653wcl-735x735@IlSole24Ore-Web.jpeg?r=86x86)
