Home

Il Garante sanziona per trattamento illecito di dati il fornitore di servizi sprovvisto di idoneo contratto

Fonte: GarantePrivacy_provvedimento_15_dicembre_2022_n._427.pdf
16 Marzo 2023

L’Autorità Garante per la protezione dei dati personali ha sanzionato un fornitore che ha posto in essere, per conto del titolare, trattamenti di dati personali (nello specifico, geolocalizzazione di interessati per un rilevante arco temporale) in mancanza di apposito contratto o altro atto giuridico e delle relative istruzioni in merito alle caratteristiche principali del trattamento, effettuando pertanto un trattamento illecito in relazione agli artt. 5, par. 1, lett. a), 6 e 28 GDPR.

Massima

Il responsabile deve assicurarsi proattivamente che il trattamento di dati personali effettuato per conto del titolare sia disciplinato da un contratto (o da altro atto giuridico) ai sensi dell'art. 28 GDPR, la cui mancanza rende illecito il trattamento del responsabile per assenza di una delle condizioni tassativamente previste dall'ordinamento.

Il caso

L'ordinanza di ingiunzione nei confronti di Verizon Connect Italy S.p.A. (Verizon) prende origine da un reclamo presentato da un interessato, il quale rappresentava il fatto che la società avesse posto in essere trattamenti non conformi al GDPR tramite l'installazione di un dispositivo di rilevamento della posizione geografica posizionato nel veicolo utilizzato dal reclamante per svolgere la propria mansione lavorativa. Verizon, in qualità di fornitore di dispositivi di rilevamento per Giessegi Industria Mobili S.p.A. (Giessegi), dichiarava di assumere la qualifica di responsabile del trattamento, come espressamente specificato nei propri Terms & Conditions, cui però non è mai seguita la sottoscrizione di un apposito accordo ai sensi dell'art. 28 GDPR, né alcuna richiesta da parte di Verizon, nei confronti del titolare, per ricevere le necessarie istruzioni relative alle concrete modalità con le quali effettuare tale trattamento.

L'Autorità ha pertanto sanzionato Verizon per un importo pari a 30.000 euro, per aver svolto trattamenti di dati personali per conto del titolare per un periodo prolungato di tempo (da gennaio 2016 a fine 2020), in assenza di diverso e idoneo presupposto di liceità.

La questione

La questione giuridica su cui si è pronunciata l’Autorità verte sulla conformità al GDPR di un trattamento di dati personali svolto da un fornitore di servizi (Verizon) senza che i rapporti in materia di protezione dei dati personali con il cliente (Giessegi) fossero stati adeguatamente disciplinati con un contratto o altro atto giuridico. In tale situazione, quali responsabilità incombono sul fornitore? È necessario un comportamento proattivo di quest’ultimo nel caso in cui il titolare non abbia provveduto alla predisposizione dell’accordo data protection e delle relative istruzioni sul trattamento?

Le soluzioni giuridiche

Sul tema della formalizzazione di un contratto o altro atto volto a regolamentare i rapporti in materia di protezione dei dati personali tra cliente e fornitore, l'Autorità ha ribadito che, nell'ottica di garantire un'efficace ed effettiva tutela dei dati personali degli interessati, tale dovere non spetti esclusivamente al titolare, ma anche al responsabile. In particolare, questi è tenuto ad osservare un comportamento proattivo verso il titolare nel caso in cui quest'ultimo non provveda (o dimentichi di provvedere nel momento della stipulazione del contratto) alla redazione di un contratto o altro atto in osservanza dell'art. 28, par. 3  GDPR.

Tale adempimento risulta di fondamentale importanza in ottica di accountability, in quanto volto a disciplinare chiaramente i compiti, le responsabilità i doveri e le limitazioni che il soggetto indicato come responsabile dovrà osservare, al fine di eseguire un trattamento di dati personali, per conto del titolare, conforme alle istruzioni impartite e alla normativa applicabile in materia.

A nulla sono valse le dichiarazioni difensive della Società, che ha tentato di sostenere la tesi che soltanto le Linee Guida 07/2020 dell'EDPB, adottate dopo la cessazione del rapporto contrattuale tra Verizon e Giessegi, avessero definitivamente chiarito i concetti di responsabile/titolare del trattamento, in quanto la normativa, già prima dell'entrata in vigore del GDPR, risultava cristallina nella descrizione degli adempimenti spettanti alle parti nel caso in cui in trattamento dovesse essere svolto da un soggetto esterno (responsabile) per conto del titolare.

Sul punto è opportuno richiamare l'art. 17 dell'abrogata direttiva 95/46/CE, il quale stabiliva la necessità di redazione di un contratto o altro atto giuridico vincolante per il responsabile nei confronti del titolare per l'esecuzione di trattamenti per conto di quest'ultimo.

Anche il nostro Legislatore nazionale aveva previsto, all'art. 29 (ora abrogato) Codice Privacy, come condizione di liceità di un trattamento affidato a un responsabile, il conferimento dell'incarico sulla base di specifiche istruzioni da parte del titolare.

Infine, con l'avvento del GDPR (25 maggio 2018), il Legislatore Europeo ha disciplinato chiaramente all'art. 28 GDPR le condizioni necessarie affinché il trattamento effettuato dal responsabile, nel caso in cui il titolare gli abbia deciso di affidare il trattamento, sia lecito.

In aggiunta, a supporto di quanto già espresso chiaramente nell'art. 28, par. 3 GDPR, sono intervenute anche le Linee Guida 7/2020 dell'EDPB (European Data Protection Board), le quali hanno inequivocabilmente affermato: “Poiché il regolamento stabilisce con chiarezza l'obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del GDPR. Sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l'esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento.” Inoltre, è lo stesso EDPB a specificare che “l'assenza di una definizione chiara del rapporto tra il titolare e il responsabile del trattamento può comportare il problema della mancanza di una base giuridica su cui qualsivoglia trattamento dovrebbe basarsi, ad esempio in merito alla comunicazione dei dati tra il titolare e il presunto responsabile del trattamento”.

L'orientamento dell'Autorità Garante (che si era già pronunciata in maniera conforme con il provvedimento 21 luglio 2022 n. 268, doc. web n. 9811271) è stato inoltre confermato anche da un'ordinanza della Suprema Corte di Cassazione (cfr. Cass. civ., sez. I, 23 luglio 2021, n. 21234), attraverso cui è stato precisato che l'accordo tra titolare e fornitore è considerato elemento fondamentale affinché quest'ultimo possa assumere concretamente la qualifica di responsabile.

Osservazioni

I ruoli soggettivi data protection non sono rimessi alla libera volontà delle parti, e non sono pertanto liberamente negoziabili, derivando invece da un'oggettiva analisi del contesto del trattamento dei dati, così come risultante dall'accordo instaurato o instaurando tra le parti, alla luce della valutazione dei due aspetti chiave che guidano nell'individuazione dei ruoli: la finalità e i mezzi del trattamento.

Non risulta tuttavia sufficiente individuare correttamente i rispettivi ruoli, esplicitandoli per esempio nel corpo delle condizioni della fornitura di un servizio, ma le parti dovranno disciplinare puntualmente quanto previsto all'art. 28 GDPR (materia, durata, natura, finalità del trattamento, categorie di dati e di interessati, obblighi e diritti del titolare), senza sottovalutarlo o intenderlo come mera formalità burocratica, per poter considerare lecita sia la comunicazione di dati tra il titolare e responsabile, sia il trattamento stesso svolto dal responsabile (in assenza di autonomi e ulteriori presupposti di liceità da parte di quest'ultimo, da valutare caso per caso).

L'Autorità si pone infatti nell'ottica di accertare che clienti e fornitori siano entrambi giuridicamente responsabili, per quanto di propria competenza, nel garantire che il trattamento posto in essere rispetti la normativa e assicuri idonee garanzie di tutela dei diritti degli interessati, in particolare laddove il trattamento sia di particolare delicatezza e potenziale invasività, come il trattamento oggetto di analisi legato alla rilevazione della posizione geografica degli interessati.

Come emerso dal provvedimento, se da un lato ogni fornitore, in qualità di responsabile del trattamento, è chiamato a sollecitare il proprio titolare nel caso in cui sia omessa la predisposizione di un contratto (o altro atto giuridico vincolante) ai sensi dell'art. 28 GDPR, dall'altro lato è in ogni caso opportuno osservare che, in capo al titolare, incombe l'obbligo di valutazione della conformità del soggetto a cui si intende affidare il trattamento. Come espresso anche nelle Linee Guida 7/2020, nel porre in essere tale attività di verifica, il titolare dovrà tenere in considerazione diversi aspetti riferiti al fornitore, tra i quali le conoscenze specialistiche, l'affidabilità e le risorse, al fine di accertare che il designando responsabile presenti garanzie sufficienti per mettere in atto misure di sicurezza tecniche e organizzative adeguate al trattamento affidato.

Concludendo, il responsabile deve prestare la massima attenzione, al pari dei titolare, al momento dell'affidamento di un incarico e prima di avviare il relativo servizio che prevede il trattamento di dati per conto del titolare, evitando l'inerzia e la passiva attesa che il titolare disciplini il rapporto come previsto dall'art. 28 GDPR, onde evitare di porre in essere un trattamento illecito e, come tale, direttamente sanzionabile da parte della nostra Autorità Garante.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.