La Corte di Giustizia europea e la posizione di titolare del trattamento dati
La Corte di Giustizia europea, intervenendo su una controversia sorta in Lituania, torna a ribadire che la responsabilità del titolare è generale e connessa a qualsiasi trattamento di dati personali effettuato direttamente o da altri che lo abbiano effettuato per suo conto. Vediamo passo per passo le motivazioni della sentenza ricordando che questa fa giurisprudenza per tutti i Paesi dell’Unione
9 Gennaio 2024
Patrizia Cardillo
Esperta di Protezione dati personali
La Corte di Giustizia europea (nel seguito: Corte), con una sentenza del 5 dicembre 2023 è tornata a farci riflettere sulla figura del titolare del trattamento intervenendo nell’ambito di una controversia tra il Centro nazionale per la sanità pubblica-Ministero della Sanità, Lituania (nel seguito: CNSP) e l’Ispettorato nazionale per la protezione dei dati, Lituania (nel seguito: INPD) in seguito all’applicazione di una sanzione amministrativa pecuniaria per una violazione degli articoli 5, 13, 24, 32 e 35 del Regolamento UE 2016/679 (nel seguito: Regolamento).
La vicenda
Nel contesto della pandemia COVID-19, il Ministro della Sanità della Repubblica di Lituania, con una prima decisione del 24 marzo 2020, ha incaricato il direttore del CNSP di organizzare l’acquisizione immediata di un sistema informatico ai fini della registrazione e del monitoraggio dei dati delle persone esposte a tale virus, a fini di monitoraggio epidemiologico.
L’incarico veniva affidato alla società UAB “IT sprendimai sėkmei” (di seguito: società ITSS) e l’applicazione mobile è stata disponibile dal 6 aprile 2020 sino al 26 maggio 2020. La società ITSS aveva ricevuto indicazioni dagli uffici del CNSP, con messaggi di posta elettronica, su diversi aspetti dell’applicazione ed era stata elaborata anche una policy di tutela della vita privata nella quale la società ITSS e il CNSP sono indicati come responsabili del trattamento.
Nel periodo di attivazione quasi 4.000 persone si erano avvalse dell’applicazione e conferendo i dati richiesti dall’applicazione, quali il numero d’identità, le coordinate geografiche (latitudine e longitudine), il paese, la città, il comune, il codice postale, il nome della strada, il numero civico, il cognome, il nome, il codice personale, il numero di telefono e l’indirizzo.
In data 10 aprile 2020 il Ministro della Sanità della Repubblica di Lituania ha affidato al direttore del CNSP il compito di organizzare l’acquisizione dell’applicazione mobile presso la società ITSS ai sensi della legge sugli appalti pubblici. Tuttavia, nessun appalto pubblico di acquisizione dell’applicazione è stato aggiudicato.
Nel corso di un’indagine avviata il 18 maggio 2020, l’INPD ha accertato che mediante l’applicazione mobile in questione erano stati raccolti dati personali degli utenti che avevano utilizzato l’applicazione come metodo di monitoraggio dell’isolamento obbligatorio per la pandemia di COVID-19. Tali dati riguardavano, in particolare, lo stato di salute dell’interessato e il rispetto delle condizioni di isolamento.
Sulla base degli elementi raccolti l’INPD, in data 24 febbraio 2021 ha inflitto al CNSP una sanzione amministrativa pecuniaria di EUR 12.000 per violazione degli articoli 5, 13, 24, 32 e 35 del Regolamento e alla società ITSS, in qualità di contitolare del trattamento, una sanzione amministrativa pecuniaria di EUR 3.000.
Il ricorso
Il provvedimento è stato impugnato dal CNSP dinanzi al Tribunale amministrativo regionale di Vilnius, nel presupposto che la titolarità del trattamento dei dati raccolti, ai sensi dell’articolo 4, punto 7, del Regolamento fosse esclusivamente in capo alla società ITSS. A sua volta la società ITSS replicava di aver agito, in qualità di responsabile del trattamento, su istruzione del CNSP, unico titolare del trattamento.
Il giudice del rinvio, considerata la situazione di fatto e le anomale vicende legate all’affidamento dell’incarico, ha ritenuto necessario sospendere il procedimento e di sottoporre alla Corte alcune questioni pregiudiziali relativamente:
- alla possibilità di considerare “titolare del trattamento” (art. 4, punto 7, del Regolamento) un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile, senza però aver direttamente effettuato alcuna operazione di trattamento di dati personali, senza aver dato esplicitamente il suo assenso né alla realizzazione delle operazioni concrete di trattamento né alla messa a disposizione del pubblico di tale applicazione mobile e che non abbia mai acquisito la stessa applicazione mobile;
- alla definizione di “trattamento” dei dati personali (art. 4, punto 2, del Regolamento) domandandosi se possono essere considerati tali anche le copie di dati personali usati per testare i sistemi informatici nel corso del processo di acquisizione di un’applicazione mobile;
- alla contitolarità del trattamento dei dati (art. 4, punto 7, e dell’art. 26, par. 1 del Regolamento) domandandosi se sia configurabile in assenza di un accordo sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali o/e delle condizioni relative alla contitolarità del trattamento;
- all’applicazione delle sanzioni e alla responsabilità oggettiva del titolare nel caso in cui lo sviluppatore effettua azioni di trattamento dei dati personali improprie.
La decisione della Corte
Vediamo, punto per punto le motivazioni e le conclusioni della Corte.
- Punto 1.- La Corte, partendo proprio dalla definizione di Titolare del trattamento riportata dal Regolamento, rileva che per stabilire se un soggetto possa essere considerato titolare “occorre esaminare se esso abbia effettivamente influito sulla determinazione delle finalità e dei mezzi di tale trattamento”.
Da quanto emerge dalla narrazione dei fatti il CNSP aveva commissionato l’applicazione, aveva previsto quali dati dovessero essere trattati e con quali modalità. Il CNSP ha effettivamente partecipato alla determinazione delle finalità e dei mezzi del trattamento. Poco rileva il fatto che il CNSP sia stato menzionato quale responsabile del trattamento nell’informativa.
Né, altresì, ostano a qualificare il CNSP “titolare del trattamento” le altre circostanze menzionate dal giudice del rinvio: il CNSP non trattava direttamente alcun dato personale, non esisteva alcun contratto tra il CNSP e la società ITSS, il CNSP non aveva acquisito l’applicazione mobile, salvo il caso in cui, prima della messa a disposizione nei confronti del pubblico, l’ente non si sia espressamente opposto alla stessa e al trattamento dei dati personali che ne è derivato.
- Punto 2. – La Corte evidenzia come la nozione di trattamento abbia una portata ampia e che le motivazioni che determinano un’operazione o un insieme di operazioni non rilevano per determinare se tale operazione o tale insieme di operazioni costituisca un trattamento.
Ne deriva che costituisce trattamento ai sensi dell’art. 4, punto 2 del Regolamento, l’uso di dati personali a soli fini di test informatici, salvo il caso in cui tali dati siano stati resi anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato o che si tratti di dati fittizi: in tale caso fuori dal campo di applicazione del Regolamento.
Al contrario[1], i dati personali che sono stati soltanto oggetto di pseudonimizzazione[2] devono essere considerati informazioni su una persona fisica identificabile e, quindi, soggetti ai principi della protezione dei dati.
- Punto 3.- L’esistenza di un accordo che definisca responsabilità e obblighi non costituisce un presupposto indispensabile per qualificare i soggetti come contitolari del trattamento, bensì sostanzia un obbligo loro imposto al fine di tutelare i diritti dei soggetti interessati al trattamento e il rispetto dei requisiti del Regolamento gravanti su di essi.
Pertanto la qualificazione di due enti come contitolari del trattamento non presuppone né l’esistenza di un accordo tra di essi sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali di cui trattasi né l’esistenza di un accordo che fissi le condizioni relative alla contitolarità del trattamento.
- Punto 4. – Per rispondere all’ultimo quesito la Corte parte dall’esame dell’art. 83, par. 2 del Regolamento laddove tra tali elementi per la determinazione della sanzione rileva, alla lettera b), il carattere doloso o colposo della violazione. Non emergono elementi di responsabilità del titolare in assenza di un suo comportamento colpevole. Tale posizione corroborata dal successivo par. 3, che tratta i casi di cumulo di violazioni, laddove nuovamente rileva il caso in cui in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento…….
La Corte, quindi, ritiene di poter concludere che solo le violazioni commesse colpevolmente, con dolo o colpa, dal titolare del trattamento, possono condurre all’irrogazione di una sanzione amministrativa pecuniaria.
Ma tale evidenza non rileva sull’applicabilità al titolare di una sanzione amministrativa pecuniaria connessa a operazioni di trattamento effettuate da un responsabile del trattamento, ovvero della persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento[3].
Infatti, il Considerando 74 del Regolamento non lascia adito a dubbi: la responsabilità del titolare è generale e connessa a qualsiasi trattamento di dati personali effettuato direttamente o che altri abbiano effettuato per suo conto. Ne consegue che il titolare può vedersi infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del Regolamento in una situazione in cui i dati personali oggetto di un trattamento illecito sono stati trattati da un responsabile del trattamento, di cui esso si è avvalso, che ha effettuato tale trattamento per suo conto.
Ovviamente fatto salvo il caso in cui, nell’ambito delle suddette operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.
Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA
- [1] Cfr. Art. 4, punto 5, del Regolamento in combinato disposto con il Considerando 26.
- [2] “pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
- [3] Cfr. art. 4, punto 8 del Regolamento.