Il responsabile paga l’insubordinazione con la titolarità del trattamento dei dati personali
Da un’indagine della Guardia di finanza emergeva che undici schede telefoniche fossero state intestate a cinque ignari cittadini in spregio della normativa che ne richiede l'obbligo di identificazione dell'assegnatario dell'utenza e l'obbligo di rendere agli interessati le informazioni relativamente al trattamento dei dati personali.
(Nella foto: l'Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano)
Di conseguenza, nel 2015 il Garante aveva ingiunto ad una società rivenditrice di servizi telefonici il pagamento di Euro 40.000,00 a titolo di sanzione amministrativa per avere svolto trattamenti di dati personali finalizzati all'attivazione di queste 11 schede telefoniche. La società proponeva opposizione dinanzi al Tribunale di Milano, tra l’altro, deducendo di doversi considerare responsabile non titolare del trattamento. ll Tribunale, richiamato il provvedimento del Garante del 2002, qualificava il rivenditore quale titolare del trattamento. La società proponeva ricorso in Cassazione.
La Corte (Cass. civ. Sez. I, Ord., 23-07-2021, n. 21234) ha ribadito che ciò che contraddistingue il "titolare" del trattamento di dati personali è il potere decisionale, osservando altresì che, alla luce della lettura coordinata delle disposizioni legislative, è possibile affermare che il preposto assume e mantiene la posizione di "responsabile" del trattamento, non solo in ragione del conferimento dell'incarico, ma anche, e necessariamente, dall'espletamento dell'incarico secondo le istruzioni impartitegli dal "titolare" nell'esercizio del suo potere decisionale ed entro i limiti e con le modalità da questi dettate per l'esecuzione del trattamento dei dati; ne consegue che ove ciò non avvenga, il "responsabile" potrà essere riconosciuto come "titolare" in concreto del trattamento, in ragione dell'autonomia decisionale e gestionale manifestata anche disattendendo le disposizioni del "titolare".
La Corte, quindi, ha affermato che “in caso di preposizione di un soggetto al trattamento dei dati su incarico del titolare, è necessario che l'effettivo trattamento dei dati da parte del preposto si svolga nell'osservanza delle istruzioni impartite dal titolare, con la conseguenza che, ove non vi sia tale osservanza, il responsabile potrà essere riconosciuto come effettivo titolare, responsabile in concreto del trattamento, in ragione dell'autonomia decisionale e gestionale manifestata nell'aver disatteso le disposizioni impartite dal titolare”. Richiamando, peraltro, un provvedimento del Garante del 16 febbraio 2006, ha confermato che nella fattispecie specifica il rivenditore, discostandosi dalle istruzioni ricevute, aveva dimostrato autonomia decisionale tale da potersi considerare titolare.
Ebbene, l’applicazione di tale principio è di assoluta rilevanza: la deriva patologica dei rapporti tra preponente (società telefonica) e preposta (rivenditore) può essere indice di autonomo potere decisionale e, dunque, comportare la qualifica di titolare del trattamento. Questo principio, però, è applicabile in tutti i rapporti tra titolare e responsabile del trattamento. Più che mai è importante, quindi, conformarsi alle pattuizioni contenute nell’accordo di cui all’articolo 28 GDPR, osservandone attentamente le relative istruzioni impartite.