Con il provvedimento n. 264 del 22 giugno 2023, il Garante per la Protezione dei Dati Personali (“Garante Privacy”) ha sanzionato la società Autostrade per l’Italia (“ASPI”) per l’altissima cifra, a causa di un’errata qualificazione dei ruoli privacy, con riferimento all’applicazione “Free To X”, sviluppata dalla società “Free To X S.r.l.” per il rimborso, totale o parziale, del costo del biglietto autostradale per ritardi dovuti a cantieri per lavori (c.d. “servizio Cashback”).
Premessa
L’indagine del Garante Privacy ha ricevuto impulso dall’esposto presentato dall’associazione dei consumatori “Assoutenti”, la quale aveva sollevato perplessità circa il trattamento dei dati effettuato mediante l’applicazione Free to X. Al momento dello svolgimento dell’istruttoria, risultavano iscritti all’applicazione oltre 300 mila utenti, di cui un terzo aderente al servizio Cashback. In particolare, l’autorità aveva riscontrato alcune presunte violazioni, con riferimento ai principi di liceità, correttezza e trasparenza e alle informazioni da rendere agli interessati ex art. 13 del Regolamento (UE) 2016/679 (“Regolamento” o “GDPR”), oltre all’inesatta configurazione dell’ambito soggettivo del trattamento, in relazione all’art. 28 dello stesso GDPR. Dall’istruttoria, difatti, il Garante Privacy giungeva alla conclusione che titolare del trattamento fosse ASPI, non Free To X S.r.l., cui era stata demandata semplicemente la gestione dell’applicazione.
L’errata qualificazione dei ruoli privacy
Considerati gli elementi acquisiti nel corso dell’attività istruttoria, l’autorità ha accertato che il trattamento dei dati personali degli utenti, di cui al servizio Cashback in parola, era stato posto in essere da ASPI, in qualità titolare del trattamento, in violazione, dunque delle disposizioni del Regolamento. Il Garante Privacy, infatti, ricordando anche quanto sostenuto dall’European Data Protection Board (“EDPB”) nelle linee guida n. 7/2020 “sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, ha precisato che il titolare del trattamento stabilisce le finalità e i mezzi dello stesso, decidendo quindi “perché” e “come” debba essere svolto il trattamento; la figura del responsabile, invece, agendo per conto del titolare, segue le istruzioni da quest’ultimo impartite, per quanto riguarda le finalità e gli elementi essenziali del trattamento.
In questa circostanza, il Garante Privacy ha appurato che la natura delle misure compensative e le relative modalità di adempimento del servizio Cashback fossero state definite in maniera autonoma da ASPI, mentre Free to X S.r.l. era mera sviluppatrice dell’applicazione. Inoltre, era la stessa ASPI ad aver individuato le condizioni e i requisiti per cui poter chiedere il rimborso: in pratica, questa era da considerarsi il titolare del trattamento, mentre Free to X il responsabile.
Il Garante Privacy ha precisato che, se una delle parti decide, di fatto, finalità e modalità del trattamento dei dati, questa sarà da considerarsi come titolare, anche se nel contratto viene indicata come responsabile. Nel caso di specie, i poteri decisionali di Free to X S.r.l. non riguardavano finalità e mezzi essenziali dei trattamenti relativi al cashback, ma soltanto lo sviluppo dell’applicazione, a nulla rilevando i margini di autonomia decisionale riconosciuti in capo a Free to X S.r.l. da ASPI relativi alla ideazione e alla gestione dell’applicazione stessa. Come ha precisato l’EDPB nelle linee guida in parola, la designazione quale responsabile del trattamento non esclude la possibilità per quest’ultimo di adottare determinate decisioni in odine al trattamento, a condizione, però, che le stesse attengano alle modalità di esecuzione di quest’ultimo.
Le ripercussioni sull’informativa privacy
L’errata qualificazione dei ruoli privacy – e l’intervento del Garante Privacy sul punto – hanno consentito di rivalutare il contenuto dell’informativa resa agli utenti, ai sensi dell’art. 13 del GDPR. Quest’ultima, infatti, individuando Free to X S.r.l. quale titolare dei trattamenti indicati, non era stata correttamente formulata, dal momento che avrebbe dovuto indicare ASPI come titolare del trattamento, determinando, di conseguenza, anche la violazione dei principi generali di cui all’art. 5 del GDPR nei riguardi degli utenti.
L’accordo di nomina a responsabile del trattamento
Infine, l’autorità ha rappresentato che i rapporti tra le società coinvolte avrebbero dovuto essere regolati da un contratto o da altro atto giuridico ai sensi dell’art. 28 del Regolamento. Pertanto, con riferimento al servizio Cashback, tale accordo avrebbe dovuto qualificare Free to X S.r.l. responsabile del trattamento, ed ASPI titolare del trattamento.
Le violazioni
All’esito dell’istruttoria e degli accertamenti compiuti, il Garante Privacy ha riscontrato la violazione degli artt. 5, 13 e 28 del GDPR con riferimento ad un trattamento effettuato per oltre un anno, a partire dal settembre 2021. Considerato, inoltre, l’alto numero di utenti coinvolti nel servizio Cashback, ha imposto la sanzione di un milione di euro, ordinando: la modifica del modello di informativa da rendere agli utenti che usufruiscono del servizio Cashback; la trasmissione agli utenti dell'applicazione della comunicazione contenente l’indicazione delle modifiche apportate all’informativa; la nomina di Free to X S.r.l. quale responsabile del trattamento.
Avv. Rossella Bucca e Dott. Lapo Lucani
