“I concetti di titolare del trattamento, di contitolare del trattamento e di responsabile del trattamento svolgono un ruolo fondamentale nell’applicazione del regolamento generale sulla protezione dei dati, in quanto stabiliscono chi è il responsabile del rispetto delle diverse norme in materia di protezione dei dati e in che modo gli interessati possono esercitare i propri diritti in concreto”[1].
Che i concetti di titolare e responsabile del trattamento siano centrali nel Regolamento 2016/679 (di seguito, anche, “Regolamento” o “GDPR”), è sicuramente ben noto: l’individuazione dei ruoli dei soggetti coinvolti in un determinato trattamento è alla base degli adempimenti richiesti dal nostro Regolamento.
Che, però, spesso non si tratti di meri adempimenti formali ma piuttosto di delicate questioni interpretative, piena e prima manifestazione del principio di accountability, è stato recentemente ricordato dal Garante privacy, che ha da poco comminato una salata sanzione ad Autostrade per l’Italia (ASPI) proprio in relazione a questi temi.
Con la newsletter del 17 luglio, il Garante ha reso noto di avere sanzionato ASPI per il trattamento illecito dei dati di circa 100mila utenti registrati alla sua app “Free to X”, volta a consentire il rimborso, totale o parziale, del costo del biglietto autostradale per ritardi dovuti a cantieri per lavori[2].
L’iniziativa trae origine dall’accordo transattivo conclusosi a definizione del procedimento di presunto grave inadempimento a carico di ASPI da parte del MIMS (già Ministero delle Infrastrutture e dei Trasporti o MIT), che ha visto ASPI adottare tale meccanismo di rimborso per attuare le misure compensative sulle tariffe di pedaggio che con lo stesso si era obbligata ad implementare. Il sistema (c.d. cashback) sarebbe stato sviluppato e gestito dalla società Free to X S.r.l. (di seguito, anche solo “Free to X”), interamente partecipata da ASPI e dalla stessa incaricata.
Nell’ambito dei trattamenti posti in essere tramite il suddetto servizio, ASPI era considerata responsabile del trattamento, mentre Free to X S.r.l. era considerata titolare, così come riportato nella documentazione che regolava i rapporti tra le due società.
Come noto, il titolare è definito dal Regolamento come colui che, ai sensi dell’art. 4, n. 7 “determina le finalità e i mezzi del trattamento dei dati”, mentre il responsabile, ai sensi nel n. 8 del medesimo articolo, è colui che “tratta dati personali per contro del titolare del trattamento”. A sostegno della scelta di qualificarsi come responsabile, nei propri scritti difensivi ASPI ha sostenuto di essersi “vincolata esclusivamente al rispetto di macro-parametri, tra cui gli importi da destinare nel periodo 2021-2024 a sconti e/o rimborsi tariffari a beneficio degli utenti autostradali” e di non avere mai “prospettato la creazione di un servizio che comportasse necessariamente il trattamento di dati personali. Il servizio di Cashback (…) è stato infatti interamente progettato e realizzato da Free to X tramite la creazione dell’omonima App”. La società non avrebbe dunque agito in qualità di titolare, in quanto si sarebbe limitata “alla sola determinazione dello scopo” del trattamento, senza intervenire su finalità e mezzi[3].
Il Garante non ha però condiviso la ricostruzione effettuata dalla due società, sostenendo piuttosto che fosse ASPI a dover ricoprire il ruolo di titolare del trattamento.
L’Autorità ha preliminarmente sottolineato alcuni principi in materia d’identificazione di titolare e responsabile del trattamento, in buona parte mutuati dalle Linee Guida EDPB 07/2020[4]. In particolare, evidenzia la necessità, “ai fini della corretta individuazione dell’ambito soggettivo del trattamento”, di stabilire i ruoli di titolare e di responsabile “sulla base di una valutazione delle circostanze concrete” relative al trattamento stesso, trattandosi “di una valutazione che deve tener conto degli elementi di fatto pertinenti al caso di specie, in quanto volta ad individuare il soggetto che esercita un’influenza determinante sul trattamento dei dati personali in questione”.
Nel caso di specie, l’Autorità ha sostenuto che il meccanismo di rimborso fosse stato individuato da ASPI in qualità di concessionario della costruzione e dell’esercizio della rete autostradale e che la natura delle misure compensative, così come le modalità di adempimento delle stesse, fossero state definite autonomamente dalla società autostradale. Inoltre, il meccanismo di rimborso denominato “Cashback” sarebbe stato ideato da ASPI, peraltro tenuta a fornire periodicamente aggiornamenti al MIMS sull’andamento del sistema, e Free to X S.r.l. sarebbe invece stata esclusivamente incaricata, da ASPI stessa, del compito di sviluppare uno “strumento informatico” per la sua implementazione, nonché della gestione di alcuni aspetti “in ordine allo sviluppo dell’App e alla gestione del servizio Cashback per il tramite della stessa”, che l’avrebbero però portata a prendere decisioni riguardanti solamente “i ‘mezzi non essenziali’ del trattamento, in quanto afferenti ad ‘aspetti (..) pratici legati all’esecuzione del[lo stesso]’ la cui portata e relative finalità sono state oggetto, a monte, di esclusiva determinazione da parte di ASPI”[5].
Secondo la ricostruzione effettuata dal Garante sarebbe inoltre irrilevante, al fine della qualificazione dei soggetti coinvolti nel trattamento, l’atto di designazione di ASPI quale responsabile, così come l’avvenuto riconoscimento, da parte della stessa, di alcuni margini di autonomia in capo a Free to X. Con riferimento al primo aspetto, infatti, il Garante richiama la prevalenza delle circostanze di fatto sugli elementi formali del trattamento[6], mentre con riferimento al secondo, evidenzia come la designazione quale responsabile del trattamento non escluda la possibilità, per quest’ultimo, di adottare autonomamente determinate decisioni in odine al trattamento, a condizione che le stesse attengano alle modalità di esecuzione dello stesso (c.d. “mezzi non essenziali”).
Se il ragionamento appena svolto è da applicarsi in linea generale, è lo stesso Garante a riconoscere, implicitamente, la complessità del caso di specie, sostenendo che, per alcuni trattamenti, Free to X possa effettivamente essere considerata, in base alle circostanze concrete che li caratterizzano, non responsabile ma titolare, realizzando così quell’ipotesi contemplata dalla Linee Guida EDPB 07/2020, in cui uno stesso soggetto può agire contemporaneamente in qualità di titolare rispetto a determinati trattamenti, e in qualità di responsabile in ordine ad altri[7].
In conclusione, l’Autorità sottolinea come l’errata qualificazione dei ruoli privacy rivestiti dalle due società abbia immediate ripercussioni sull’informativa resa agli utenti, che pertanto non è stata correttamente formulata dovendo indicare ASPI, e non Free to X, come titolare del trattamento.
Seppur non indicando ad ASPI misure correttive, poiché la società nel corso del procedimento si è conformata ai rilievi effettuati, il Garante la sanziona per un milione di euro in considerazione della natura delle violazioni, inerenti l’inosservanza dei principi generali del trattamento, la loro durata, di circa un anno, nonché l’elevato numero d’interessati coinvolti.
Il provvedimento ricorda alle aziende e agli operatori del settore che adempimenti fondamentali non è sinonimo di adempimenti “semplici” o “scontati”, ma che uno sforzo interpretativo è richiesto, per potersi definire compliant.
[1] EDPB, Linee Guida 07/2020 sui di concetti titolare del trattamento e di responsabile del trattamento ai sensi del GDPR.
[2] Garante per la protezione dei dati personali, Provvedimento n. 264 del 22 giugno 2023, doc. web 9909702.
[3] Nota del 1° dicembre 2022, p. 2, citata dal Provv. n. 264/2023.
[4] EDPB, cit.
[5] Provv. n. 264/2023, p. 7.
[6] “Se una parte […] decide di fatto le finalità e le modalità del trattamento di dati personali, essa sarà il titolare [dello stesso] […] anche laddove un contratto la indichi come responsabile” (EDPB, cit.).
[7] “[…] Free to x, con riferimento a quei trattamenti rispetto ai quali determina autonomamente le rispettive finalità e i relativi mezzi -quali quelli strettamente connessi alla registrazione e gestione dell’account utente (cfr. nota di Free to X S.r.l. del 23 novembre 2021, All. n. 2 e da ultimo nota del 21 dicembre 2022, All. n. 2a, punto A “Trattamenti di cui Free To X S.r.l. è titolare”)- agisce in qualità di titolare, rivestendo al contempo il ruolo di responsabile del trattamento inerente al servizio Cashback” (Provv. 264/2023, p.7).