Privacy&

2021/3

Stefano Petrussi

I ruoli di titolare e di responsabile del trattamento: la Cassazione fa chiarezza

Recentemente la Corte di Cassazione (sez. I Civile), con l’ordinanza n. 21234 depositata il 23 luglio 2021, ha affrontato il tema relativo all’individuazione dei ruoli di titolare e di responsabile del trattamento in una questione riguardante una sanzione irrogata nel maggio 2015 (e a cui, pertanto, è stato applicato il Codice della privacy prima della novella introdotta dal D. L.gs. n. 101/2018), sottolineando che assume la qualifica di responsabile del trattamento solo il soggetto che sia stato preposto al trattamento dal titolare e che si sia attenuto alle istruzioni da questi impartitegli.  “Ne consegue che ove ciò non avvenga” – precisano gli Ermellini – “il responsabile potrà essere riconosciuto come titolare in concreto del trattamento, in ragione dell'autonomia decisionale e gestionale manifestata anche disattendendo le disposizioni del titolare”. In specie, i giudici di Piazza Cavour hanno confermato il provvedimento n. 293 del 13 maggio 2015 adottato dal Garante della privacy (ritenuto legittimo dal Tribunale di Milano con la sentenza n. 12576/2016) nei confronti di una società rivenditrice di servizi telefonici per avere attivato undici schede telefoniche di una società terza a cinque persone senza aver reso alle stesse l'informativa sul trattamento dei dati. La Cassazione, respingendo l’opposizione proposta dalla società, ha ritenuto il rivenditore di telefonia qualificabile quale autonomo titolare (e non come responsabile del trattamento dei dati eseguito per conto del gestore telefonico) avendo ravvisato l'esplicazione di un autonomo potere decisionale nell'inosservanza da parte del medesimo delle istruzioni impartite dal titolare e, nello specifico, delle norme in materia di consenso informato al trattamento dei dati da parte degli ignari intestatari delle schede telefoniche “sufficiente a confermarne la qualità di titolare del trattamento in concreto”. L’articolo illustra i punti salienti della pronunzia adottata dagli Ermellini il 23 luglio 2021, dedicando particolare attenzione al “fil rouge” delle conclusioni a cui è pervenuta la Suprema Corte e soffermandosi sulla coerenza di tale posizione con quanto stabilito dall’art. 28, paragrafo 10 del GDPR e dalla versione finale delle “Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Version 2.0.”  adottate il 7 luglio 2021 dal Comitato Europeo per la protezione dei dati (EDPB).

L'ACCESSO A QUESTO CONTENUTO E' RISERVATO AGLI UTENTI ABBONATI

Sei abbonato? Esegui l'accesso oppure abbonati.