Con un recente provvedimento, il Garante per la protezione dei dati personali ha emesso una sanzione da 1 milione di euro nei confronti della concessionaria della rete autostradale, ASPI, per avere trattato in modo illecito i dati di circa 100 mila utenti registrati alla App per il rimborso del pedaggio Free to X. In particolare, ASPI si era erroneamente qualificata come responsabile e non titolare del trattamento ai sensi del Regolamento UE 679/2016 (“GDPR”) e ciò si rifletteva nella documentazione regolante i rapporti con il fornitore dell’App nonché nell’informativa resa agli utenti.
La vicenda trae origine dall’inoltro al Garante di una comunicazione da parte di una associazione no profit per la tutela dei consumatori, nella quale venivano sollevati alcuni profili di criticità in merito alle attività di trattamento dei dati personali degli utenti poste in essere da ASPI e dal fornitore dell’App, volta a consentire il c.d. cashback, i.e., il rimborso, totale o parziale, del costo del biglietto autostradale per ritardi dovuti a cantieri per lavori.
Alla luce delle informazioni raccolte in sede di istruttoria è emerso come, con particolare riguardo al trattamento dei dati personali posto in essere nell’ambito del servizio di cashback, il fornitore dell’App operasse in qualità di titolare mentre ASPI quale responsabile del trattamento nonostante:
- la ragion d’essere del meccanismo di cashback fosse da ricondursi ad un accordo transattivo conclusosi a definizione di un procedimento di presunto grave inadempimento a carico di ASPI da parte del Ministero delle Infrastrutture e dei Trasporti;
- parimenti la stessa società avesse individuato le condizioni e i requisiti della richiesta di rimborso da parte dell’utente dell’App (es. la tipologia di ritardo e la correlazione dello stesso con la presenza di cantieri in corso); e
- ASPI avesse affidato al proprio fornitore, sulla base di criteri già puntualmente stabiliti, compiti inerenti esclusivamente alla fase di attuazione del cashback in relazione alle funzionalità dell’App.
Pertanto, l’Autorità è giunta a conclusione che:
- con riferimento al trattamento inerente al servizio cashback, le finalità e i relativi mezzi sono stati determinati da ASPI, e, pertanto, la stessa riveste il ruolo di titolare; mentre
- il fornitore dell’App, diversamente da quanto rappresentato dalla società nel corso dell’istruttoria, agisce, (i) a fronte dell’incarico espressamente conferitole da ASPI rispetto al servizio cashback, in qualità di responsabile del relativo trattamento e (ii) anche come titolare autonomo con riferimento ai trattamenti rispetto ai quali determina autonomamente le rispettive finalità e i relativi mezzi, quali quelli strettamente connessi alla registrazione e gestione dell’account utente.
Infatti, secondo il Garante, ai fini del corretto inquadramento dei ruoli di titolare e di responsabile del trattamento, non assume rilevanza il riconoscimento, da parte di ASPI, di alcuni margini di autonomia decisionale in capo al fornitore dell’App, nello specifico, alla ideazione e gestione dell’App. Questo perché la designazione quale responsabile del trattamento non esclude la possibilità per quest’ultimo di adottare autonomamente determinate decisioni in odine al trattamento a condizione però che le stesse attengano alle modalità di esecuzione di quest’ultimo (c.d. detti “mezzi non essenziali”). Nel caso di specie, tali decisioni afferivano in particolare allo sviluppo e alla gestione dell’App quale strumento di realizzazione concreta dello stesso.
Tuttavia, come riconosciuto dal Garante, resta fermo che, in particolari contesti, quali ad esempio quelli inerenti ai trattamenti posti in essere tramite applicazioni mobili, uno stesso soggetto può agire comunque contemporaneamente in qualità di titolare rispetto a determinati trattamenti, e in qualità di responsabile in ordine ad altri trattamenti.
La predetta riqualificazione dei rapporti tra ASPI e il fornitore dell’App ha avuto immediate ripercussioni anche sulla conformità al GDPR in relazione a:
- il rilascio dell’informativa agli utenti ai sensi dell’art. 13 del GDPR: poiché il testo individuava il fornitore dell’App quale titolare di tutti i trattamenti, ivi incluso di erogazione del servizio cashback, l’informativa, nel caso di specie, non era stata adeguatamente formulata. Infatti, con riferimento al servizio cashback, avrebbe dovuto riportare l’indicazione corretta in ordine all’effettiva identità del titolare (ossia ASPI) e alle finalità del relativo trattamento, nonché le ulteriori informazioni per assicurare, nel rispetto dei principi generali di cui all’art. 5 del GDPR, un trattamento corretto e trasparente nei confronti degli utenti; e
- la mancata nomina del fornitore dell’App quale responsabile del trattamento ai sensi dell’art. 28 del GDPR: il fornitore dell’App, con riferimento al servizio cashback, contrariamente a quanto emerso dalla documentazione in atti, avrebbe dovuto essere nominato da ASPI quale responsabile del trattamento e non viceversa.
Pertanto, alla luce di quanto precede, ASPI è stata ritenuta responsabile della violazione degli:
- 5, par. 1, lett. a) del GDPR per quanto concerne i principi di correttezza e di trasparenza, nonché dell’art. 13 del Regolamento con riferimento alle informazioni da fornire agli interessati; e
- 28 del GDPR per la mancata designazione del fornitore dell’App quale responsabile del trattamento inerente al servizio cashback.
Ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione in un milione di euro, sono state tenute in considerazione le circostanze sotto riportate:
- in relazione alla gravità delle violazioni, è stata considerata rilevante l’inosservanza dei principi generali del trattamento, e in particolare il principio di correttezza e quello di trasparenza, la relativa durata quantificabile in circa un anno nonché l’elevato numero di interessati coinvolti in quanto corrispondente ad un terzo del numero complessivo dei soggetti registrati all’App;
- l’adozione di misure atte a mitigare o ad eliminare le conseguenze della violazione; e
- la circostanza che la società abbia attivamente cooperato con l’Autorità, il fatto che non risultino precedenti violazioni ma anche che il servizio cashback è fornito a titolo gratuito, senza che ASPI ottenesse alcun beneficio economico diretto.
Questo provvedimento è particolarmente interessante per le aziende a cui si applica il GDPR poiché sottolinea l’importanza della corretta qualificazione dei ruoli privacy. Pertanto, quando queste intendono coinvolgere soggetti terzi nella realizzazione dei propri progetti che contemplano il trattamento dei dati personali è consigliabile svolgere un assessment preliminare dei ruoli privacy al fine di individuare gli adempimenti di volta in volta applicabili a ciascuna parte.
Potrebbe interessarvi “Il Garante privacy svedese sanziona una nota App di streaming per non aver rispettato il diritto di accesso degli interessati”.
Autore: Giorgia Carneri
