Obblighi privacy per il trasportatore che geolocalizza la clientela
L’impresa che trasporta merci su strada, per conto terzi, ha l’obbligo di comunicare al Garante della privacy il trattenimento dei dati personali dei clienti quisiti attraverso la geolocalizzazione.
La Corte di cassazione, con sentenza 26387, accoglie il ricorso del Garante, contro la decisione del Tribunale di annullare la sanzione amministrativa, per la mancata comunicazione.
I giudici di merito avevano, infatti, ritenuto che la Srl, che esercitava solo il servizio di trasporto, non avesse alcuno obbligo di notificazione, dal momento che i sistemi di geolocalizzazione erano stati ideati e sviluppati dalla Spa di spedizioni appaltante per fornire servizi alla sua utenza.
Mentre i trasportatori si era limitati a fornire i mezzi sui quali erano montati i Gps, e gli autisti.
Per la Cassazione però la messa a disposizione delle credenziali per accedere ai dati di geolocalizzazione dei clienti è una condizione sufficiente, per considerare l’azienda di trasporti titolare del trattamento. Un “trasferimento” di potere di accedere ai dati che il Tribunale aveva trascurato, ma che è invece fondamentale, perché comporta un potere decisionale “sulle finalità e sulle modalità di trattamento al quale allude l’articolo 28 del Codice della privacy”.
Il Garante della privacy ha segnata in Cassazione un altro punto a suo favore. Con la sentenza 26989, la Suprema corte ha infatti accolto il ricorso contro la decisione dei Tribunale di escludere la sanzione per la mancata comunicazione del trattamento dei dati personali, da parte di una clinica privata, acquisiti attraverso un servizio di prenotazione delle visite online. Una decisione che i giudici di merito avevano preso valorizzando l buona fede della struttura che aveva omesso la notifica al Garante, nel rispetto di una circolare dell’associazione italiana ospedalità privata, secondo la quale le associate dovevano considerarsi esonerate dall’obbligo.
Un’indicazione che, ad avviso del Tribunale, aveva indotto i destinatari a credere di aver agito correttamente.
Per la Cassazione è una motivazione semplicistica. Perché per escludere la responsabilità per l’illecito amministrativo non basta la convinzione di aver seguito le indicazioni dell’associazione di categoria, ma va accertata l’assenza di colpa dell’autore della violazione. E nel caso esaminato c’è una presunzione di colpa.
Le associazioni di categoria sono organismi privati e il compito a loro attribuito di illustrare agli associati il senso delle norme di legge, non esonera questi ultimi dal dovere di verificare personalmente quali sono i doveri.
La Corte di cassazione, con sentenza 26387, accoglie il ricorso del Garante, contro la decisione del Tribunale di annullare la sanzione amministrativa, per la mancata comunicazione.
I giudici di merito avevano, infatti, ritenuto che la Srl, che esercitava solo il servizio di trasporto, non avesse alcuno obbligo di notificazione, dal momento che i sistemi di geolocalizzazione erano stati ideati e sviluppati dalla Spa di spedizioni appaltante per fornire servizi alla sua utenza.
Mentre i trasportatori si era limitati a fornire i mezzi sui quali erano montati i Gps, e gli autisti.
Per la Cassazione però la messa a disposizione delle credenziali per accedere ai dati di geolocalizzazione dei clienti è una condizione sufficiente, per considerare l’azienda di trasporti titolare del trattamento. Un “trasferimento” di potere di accedere ai dati che il Tribunale aveva trascurato, ma che è invece fondamentale, perché comporta un potere decisionale “sulle finalità e sulle modalità di trattamento al quale allude l’articolo 28 del Codice della privacy”.
Il Garante della privacy ha segnata in Cassazione un altro punto a suo favore. Con la sentenza 26989, la Suprema corte ha infatti accolto il ricorso contro la decisione dei Tribunale di escludere la sanzione per la mancata comunicazione del trattamento dei dati personali, da parte di una clinica privata, acquisiti attraverso un servizio di prenotazione delle visite online. Una decisione che i giudici di merito avevano preso valorizzando l buona fede della struttura che aveva omesso la notifica al Garante, nel rispetto di una circolare dell’associazione italiana ospedalità privata, secondo la quale le associate dovevano considerarsi esonerate dall’obbligo.
Un’indicazione che, ad avviso del Tribunale, aveva indotto i destinatari a credere di aver agito correttamente.
Per la Cassazione è una motivazione semplicistica. Perché per escludere la responsabilità per l’illecito amministrativo non basta la convinzione di aver seguito le indicazioni dell’associazione di categoria, ma va accertata l’assenza di colpa dell’autore della violazione. E nel caso esaminato c’è una presunzione di colpa.
Le associazioni di categoria sono organismi privati e il compito a loro attribuito di illustrare agli associati il senso delle norme di legge, non esonera questi ultimi dal dovere di verificare personalmente quali sono i doveri.
Fonte: Il Sole 24 Ore