Responsabilità del titolare del trattamento per violazione del GDPR: il punto della CGUE

Responsabilità del titolare del trattamento per violazione del GDPR: il punto della CGUE
In data 5 dicembre 2023 è stata pubblicata la sentenza della Grande Sezione della Corte di Giustizia dell’Unione Europea (“CGUE”) nella causa C-683/21 che fornisce alcune importanti precisazioni, in via interpretativa, delle questioni legate alla corretta qualificazione dei ruoli di titolare, di responsabile e di contitolare del trattamento ai sensi del Regolamento (UE) 2016/679 sulla protezione dei dati personali (“GDPR”). Tale orientamento, oggetto di analisi del presente contributo, ha portato la CGUE ad affermare due importanti principi di diritto sul tema, strettamente correlato, delle sanzioni amministrative previste in caso di violazione della normativa sulla data protection ex art. 83 del GDPR.

Il caso

Nella prima metà del 2020, il Ministero della Salute lituano ha chiesto a un fornitore di servizi privato di sviluppare un’applicazione per la registrazione e il monitoraggio delle persone affette da Covid-19 (in seguito, anche “App”).

Il Ministero della Salute e il provider della soluzione informatica sono stati entrambi designati come “soggetti responsabili del trattamento” (nel senso di soggetti accountable per l’eventuale violazione della normativa privacy) nell’informativa sulla privacy pubblicata. A seguito del lancio sull’App Store di Google Play e Apple, tra aprile e maggio 2020, più di 3.800 persone hanno quindi scaricato ed utilizzato l’App fornendo, peraltro, diverse informazioni, tra cui dati relativi alla salute rientranti nella particolare categoria di cui all’art. 9 del GDPR, in risposta ai sondaggi che venivano distribuiti agli utenti tramite l’App stessa.

Il Valstybiné Duomenu Apsaugos Inspekcij (l’Autorità locale per la protezione dei dati lituana, “Autorità lituana”) ha pertanto avviato un’indagine all’esito della quale ha sanzionato il Ministero della Salute per 12mila euro e il provider per 3mila euro in qualità di contitolari del trattamento per:

- violazione dei principi di trattamento dei dati;

- non aver fornito agli interessati le informazioni necessarie sul trattamento;

- non aver adottato misure tecniche, organizzative e di sicurezza per conformarsi al GDPR;

- non aver effettuato una valutazione d’impatto sulla protezione dei dati.

Il Ministero della Salute ha dunque impugnato il provvedimento dell’Autorità lituana, sostenendo che il provider era l’unico soggetto “responsabile” della conformità al GDPR; dall’altro lato, quest’ultimo sosteneva di essere un subappaltatore del Ministero della Salute e quindi che gli obblighi di compliance al GDPR discendevano unicamente in capo al Ministero.

Il Tribunale lituano, chiamato a pronunciarsi sul ricorso, ha presentato un rinvio preliminare alla CGUE, evidenziando in fatto come il provider aveva realizzato l’App e il Ministero della Salute aveva fornito consulenza sul contenuto delle domande poste all’interno dei sondaggi; che non esisteva alcun contratto di appalto pubblico tra il Ministero della Salute e il provider; e che, inoltre, il Ministero della Salute non avrebbe acconsentito o autorizzato la messa a disposizione di questa applicazione attraverso gli App Store.

Gli orientamenti della CGUE nella sentenza del 5 dicembre 2023, C-683/21

1. Sulla responsabilità del titolare del trattamento ai sensi dell’articolo 4, n. 7, del GDPR

Ripercorsi i fatti appena esaminati, la CGUE ha fornito alcuni essenziali principi di diritto in tema di corretta qualificazione dei ruoli rivestiti dai soggetti che trattano dati personali e di relativa responsabilità per la mancata compliance al GDPR.

In primo luogo, la CGUE ha chiarito che un soggetto potrebbe essere considerato un titolare del trattamento anche se:

  • non ha trattato i dati o fornito il suo esplicito consenso al trattamento effettuato per suo conto;
  • non ha determinato le finalità e i mezzi del trattamento mediante linee guida o istruzioni scritte.

Ciò che conta, ai fini della corretta qualifica in esame, è verificare se tale entità ha influenzato le finalità e/o i mezzi del trattamento.

La CGUE ha dunque premesso che la sanzione amministrativa prevista per violazioni della normativa privacy può essere comminata al titolare del trattamento solo se questi ha deliberatamente o per negligenza violato gli obblighi posti dal GDPR, tra cui la violazione dei principi del trattamento dei dati personali, la mancanza di una base giuridica per il trattamento, il mancato rispetto dei diritti degli interessati di cui agli articoli 15-22 e la mancata protezione dei dati by design o by default ex articolo 25 (in base a quanto previsto dall’art. 83 del GDPR, norma che detta le condizioni generali per infliggere sanzioni amministrative pecuniarie).

Pertanto, secondo tale interpretazione, tale sanzione può essere comminata al titolare del trattamento anche se le violazioni sono state causate da un subappaltatore, a meno che quest’ultimo: non effettui il trattamento per il perseguimento di finalità proprie; ovvero abbia agito in modo contrario alle indicazione fornite dal titolare del trattamento; ovvero ancora abbia agito in modo tale da far ritenere irragionevole che il titolare del trattamento abbia acconsentito all’attività rivelatasi illecita.

Nel caso di specie, la CGUE ha concluso che: “può essere considerato titolare del trattamento, ai sensi di tale disposizione, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile, salvo che, prima di tale messa a disposizione nei confronti del pubblico, il suddetto ente si sia espressamente opposto ad essa e al trattamento dei dati personali che ne è derivato”.

2. Sulla contitolarità del trattamento ai sensi degli articoli 4, n. 7, e 26, par. 1, del GDPR

La CGUE è stata inoltre chiamata a rispondere al quesito se la qualificazione di due enti come contitolari del trattamento presupponga l’esistenza di un accordo tra tali enti sulla determinazione delle finalità e dei mezzi del trattamento dei dati personali in questione o l’esistenza di un accordo che stabilisca le condizioni relative alla contitolarità del trattamento.

La risposta, sotto tale profilo, è negativa: come già aveva avuto modo di chiarire nelle precedenti pronunce, la CGUE ha infatti ribadito che l’esistenza di una contitolarità non si traduce necessariamente in una responsabilità equivalente dei diversi operatori interessati da un trattamento di dati personali, ben potendo quest’ultimi agire in fasi diverse di tale trattamento e a diversi livelli, di modo che il grado di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie.

Da tale considerazione, la CGUE fa discendere che l’esistenza di un “accordo” (come definito dall’art. 26 del GDPR) costituisce “non una condizione previa affinché due o più entità siano qualificate come contitolari del trattamento, bensì un obbligo che tale articolo […] impone ai contitolari del trattamento, una volta qualificati come tali, al fine di garantire il rispetto dei requisiti del GDPR gravanti su di essi.”.

3. Sul regime sanzionatorio di cui all’art. 83 del GDPR

L’interpretazione delle disposizioni che precedono conduce, pertanto, la CGUE ad affermare i seguenti principi di diritto:

  • In primo luogo, viene affermato che la sanzione amministrativa pecuniaria per violazione del GDPR va inflitta al titolare del trattamento solo qualora detta violazione sia stata commessa in modo illecito, ossia dolosamente o colposamente, quindi nel momento in cui il titolare del trattamento non poteva ignorare l’illiceità del suo comportamento;
  • In secondo luogo, che tale sanzione può essere inflitta a un titolare del trattamento in relazione a operazioni di trattamento di dati personali effettuate per suo conto da un responsabile del trattamento, salvo che, nell’ambito di tali operazioni, detto responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie; o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento; o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito.

Avv. Lorenzo Baudino Bessone

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori