GPS "occulto" nel furgoncino costa caro a Visirun (ora Verizon Connect): stangata di 30.000,00 Euro

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

GPS "occulto" nel furgoncino costa caro a Visirun (ora Verizon Connect): stangata di 30.000,00 Euro

Messaggio da Giancarlo Favero »

Molta gustosa ed interessante la vicenda narrata, dove una persona rinviene per caso un apparato GPS atto a tenere traccia della posizione del veicolo, all'interno di un furgoncino, installato occultamente, senza nessun avvertimento e nessuna informatica.
Altrettanto gustoso, kafkiano e fantozziano il rimpallo di responsabilità tra i vari soggetti coinvolti: una vera chicca, degna della migliore settimana enigmistica!!

Grazie e buona lettura,

Giancarlo Favero

https://www.garanteprivacy.it/web/guest ... eb/9856694

Ordinanza ingiunzione nei confronti di Verizon Connect Italy S.p.A. - 15 dicembre 2022

Registro dei provvedimenti
n. 427 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento in data 16 febbraio 2021 dal Sig. XX nei confronti di Verizon Connect Italy S.p.A. (già Visirun S.p.A.);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti della Società e l’attività istruttoria.

Con reclamo del 16 febbraio 2021 il Sig. XX ha lamentato presunte violazioni del Regolamento (Ue) 2016/679 (di seguito “Regolamento”) da parte di Verizon Connect Italy S.p.A. (di seguito, la Società), con riguardo ai trattamenti effettuati mediante l’installazione di un dispositivo idoneo a rilevare la posizione geografica all’interno dell’autoveicolo mediante il quale il reclamante ha effettuato attività di consegna di beni. In particolare il reclamante ha rappresentato di aver “rinvenuto all’interno del vano motore del suo autocarro marca: MAN, modello TGA un apparecchio localizzatore marcato Visirun n. seriale 30006717” che è risultato attivo “almeno alla data del 12/09/2020”. Il predetto dispositivo sarebbe stato installato nell’ambito del rapporto di lavoro intercorso con Giessegi Industria Mobili S.p.A. fino alla data del 13 maggio 2019. Con il reclamo è stato altresì lamentato che la Società (già Visirun S.P.A) non abbia fornito riscontro ad una richiesta di esercizio del “diritto di accesso ai dati oggetto di trattamento” formulata il 14 settembre 2020.

La Società, nel fornire riscontro alla richiesta di informazioni dell’Autorità del 30 novembre 2021, con nota del 14 gennaio 2022, ha dichiarato che:

a. “Il 14 settembre 2020 l'amministrazione di Verizon apriva il ticket GCR-233-12771 […], in seguito alla ricezione di una PEC da parte dell'avvocato del [reclamante]. In tale comunicazione, l'avvocato […] riferiva che quest'ultimo (i) aveva trovato il dispositivo di geolocalizzazione Visirun n. 30006717 ("Dispositivo") all'interno del suo camion; (ii) non era a conoscenza della presenza di tale Dispositivo prima di quel momento, e di conseguenza (iii) chiedeva a Verizon di ricevere informazioni su chi avesse accesso ai dati raccolti” (nota 14/1/2022, p. 10);

b. “Il ticket veniva assegnato al team success account manager (SAM) di Verizon, che gestiva direttamente la questione chiamando il proprio contatto in Giessegi, titolare del trattamento, riportando la richiesta formulata dal [reclamante]. Giessegi confermava che il [reclamante] li aveva supportati in passato, ma che non vi era più alcun rapporto in essere. Ciononostante, Giessegi aveva dimenticato di recuperare il Dispositivo dal [reclamante]. Nel contempo, Giessegi confermava la volontà di terminare il rapporto contrattuale con Verizon (in essere da gennaio 2016). In seguito a questa telefonata e a un breve scambio di email di follow-up […], il team SAM contrassegnava il ticket come chiuso” (nota cit., p. 10);

c. “Verizon adottava le azioni amministrative necessarie per concludere il rapporto contrattuale con Giessegi (terminato alla fine del 2020) e non riceveva più alcuna informazione né da Giessegi né dall'avvocato del [reclamante], fino al novembre del 2021. Più precisamente, il 30 novembre 2021 Giessegi contattava il team addetto alle vendite di Verizon chiedendo una copia dei T&C che regolavano il rapporto contrattuale in essere tra Verizon e Giessegi nel periodo 2016-2020. Il team addetto alle vendite informava Giessegi di non disporre di alcun contratto firmato da inoltrare, dal momento che i T&C in vigore all'epoca erano incorporati per riferimento nelle conferme d'ordine presentate online a Giessegi nel corso del 2016 […]. In seguito, il 15 dicembre 2021 Verizon inviava una email a Giessegi fornendo una copia dei T&C in vigore al momento della presentazione degli ordini di acquisto da parte di Giessegi” (nota cit., p. 10);

d. ”il titolare del trattamento dei dati rispetto al trattamento dei dati personali dei dipendenti effettuato attraverso qualsiasi dispositivo di geolocalizzazione (incluso il Dispositivo) è il cliente. Verizon agisce come responsabile del trattamento dei dati. Questi ruoli erano specificati all'articolo 18 dei T&C sottoscritti da Giessegi nel 2016 […] e risultano ancora più chiari da quanto previsto dall'articolo 17.4 dell'attuale versione dei T&C” (nota cit., p. 11);

e. “Il Dispositivo [Visirun n. 30006717] è stato spedito a Giessegi nel febbraio 2016 […] ed è stato disattivato il 23 novembre 2020 in seguito agli scambi tra Visirun e Giessegi del 24 settembre 2020” (nota cit., p. 11);

f. “ad oggi Verizon e Giessegi non hanno alcun rapporto contrattuale in essere”; “Nel corso del 2016, Giessegi ha presentato alcuni ordini online […] per il noleggio di un totale di 76 dispositivi di geolocalizzazione (compreso il Dispositivo) e relativi servizi connessi. L'ultimo ordine di sostituzione di un articolo difettoso è avvenuto in data 15 giugno 2016”; “Il 31 dicembre 2020, il rapporto contrattuale in essere è stato risolto in seguito alla restituzione dei dispositivi di geolocalizzazione (tranne il Dispositivo e altri due dispositivi che erano stati persi) da parte di Giessegi” (nota cit., p. 11);

g. “Verizon agisce come responsabile del trattamento rispetto al trattamento dei dati personali effettuato nell'ambito della fornitura dei servizi ai clienti. Pertanto, gli obblighi di cui all'articolo 13 GDPR ricadevano su Giessegi” (nota cit., p. 11);

h. “si descrivono di seguito le caratteristiche standard del Dispositivo, precisando – ove applicabile – le caratteristiche aggiuntive/specifiche espressamente richieste da Giessegi. Nello specifico, Giessegi aveva acquistato il "servizio Visirun light", comprensivo di localizzazione GPS, report sui percorsi e mappatura continua. Sulla base di tale servizio acquistato da Giessegi, il Dispositivo raccoglieva le seguenti categorie di dati: Società/Nome del cliente; Indirizzo postale; Numero di telefono; Indirizzo email; Partita IVA; Indirizzo IP pubblico; Posizione del veicolo (lat\long)” (nota cit., p. 12);

i. “i dati di localizzazione erano conservati per 12 […] mesi” (nota cit., p. 12);

j. “Per quanto riguarda la generazione delle mappe, il Dispositivo era impostato sulle caratteristiche standard del servizio. Pertanto, consentiva a Giessegi di controllare sulla mappa la distanza percorsa da ciascun veicolo, con il calcolo dei chilometri, del tempo di viaggio e della velocità media di guida. In aggiunta, tutti i tragitti percorsi erano registrati e rimanevano disponibili nei sistemi di Visirun nel rispetto del periodo di conservazione illustrato in precedenza. Per quanto riguarda la frequenza di localizzazione, Verizon non è purtroppo in grado di fornire alcuna informazione specifica sulle caratteristiche impostate da Giessegi, dal momento che tali caratteristiche erano associate all'hardware del Dispositivo. Una volta disattivato, Verizon non può accedere in alcun modo a tali dati. Nella sua impostazione standard, il piano di abbonamento "Light" […] raccoglie i dati di localizzazione a intervalli regolari (non in tempo reale), ma il cliente potrebbe aver impostato tali intervalli su valori diversi” (nota cit., p. 12-13);

k. “Secondo la procedura stabilita nell'Allegato 1 delle Verizon EU BCR for processor […], nel caso in cui qualsiasi società Verizon riceva da un soggetto la richiesta di esercitare i propri diritti ai sensi del GDPR, in qualità di responsabile del trattamento per conto di un cliente, tale società è tenuta a trasmettere prontamente tale richiesta al cliente interessato e a non rispondere alla richiesta se non autorizzata dal cliente stesso” (nota cit., p. 14);

a. “Nel caso specifico, il team SAM di Verizon ha trattato la richiesta come un ticket e ha tempestivamente informato Giessegi in merito alla comunicazione dell'avvocato del [reclamante]. Dopodiché, il team SAM ha ritenuto in buona fede che Giessegi avesse preso in carico la questione e che avrebbe dato seguito alla stessa fornendo […] tutte le informazioni richieste, soprattutto a fronte del rapporto diretto in essere tra Giessegi e il [reclamante]. Al fine di garantire che in futuro i team interni di Verizon gestiscano le richieste di accesso ai dati con maggiore chiarezza (assicurandosi non solo di trasmettere la richiesta ai clienti titolari del trattamento, ma di inoltrarla correttamente, coinvolgendo adeguatamente il team di Verizon dedicato alla protezione dei dati), Verizon ha ribadito ai soggetti coinvolti l'importanza di rispettare le procedure interne, invitandoli a seguire nuovamente il training internazionale sulla privacy” (nota cit., p. 14).

Con successiva nota del 25 maggio 2022, inviata in riscontro ad una richiesta di ulteriori informazioni formulata dall’Ufficio (il 6/5/2022), la Società ha dichiarato che:

a. “in relazione alla nomina a "responsabile esterno del trattamento" ai sensi dell'articolo 29 del Codice Privacy, Verizon desidera sottolineare […] che prima dell'entrata in vigore del GDPR in data 25 maggio 2018, i responsabili del trattamento (quale Verizon nell’ambito del suo rapporto contrattuale con Giessegi) non avevano alcuna responsabilità diretta ai sensi della Direttiva 95/46/CE e del Codice Privacy. Al contrario, i titolari del trattamento (quale Giessegi nel caso di specie) erano gli unici soggetti esclusivamente responsabili in merito alla propria conformità alla normativa in materia di protezione dei dati personali e a quella dei loro responsabili del trattamento. Ciò significa che ai sensi del quadro normativo in materia di protezione dei dati personali in vigore prima del GDPR Giessegi era l'unico soggetto responsabile della nomina di Verizon quale responsabile del trattamento dei dati ai sensi dell'articolo 29 del Codice Privacy” (nota 25/5/2022, p. 7);

b. "Fatto salvo quanto indicato in precedenza, nei T&C del 2016 Verizon, richiamando l'ormai abrogato articolo 29 del Codice Privacy, ribadiva a Giessegi la responsabilità di nominare Verizon quale responsabile del trattamento. Nonostante ciò, tale nomina non è mai stata ricevuta da Verizon” (nota cit., p. 7);

c. “per quanto riguarda la frequenza di localizzazione, Verizon non è […] in grado di fornire informazioni specifiche sulle caratteristiche impostate da Giessegi, in quanto tali caratteristiche erano associate all'hardware del Dispositivo. Come specificato a codesta Autorità […], una volta disattivato il Dispositivo, Verizon non può accedere in alcun modo a tali dati” (nota cit., p. 7);

d. “il piano di abbonamento "Light", ossia il piano attivato da Giessegi in relazione al Dispositivo, è impostato per raccogliere i dati di localizzazione a intervalli regolari (non in tempo reale), nello specifico ogni 60 secondi, e per trasmetterli ogni 120 secondi. Tuttavia, il cliente potrebbe aver impostato tali intervalli su valori diversi” (nota cit., p. 8).

L’Autorità ha contestualmente avviato un procedimento nei confronti di Giessegi S.p.A., in qualità di titolare del trattamento effettuato mediante il dispositivo rinvenuto sul veicolo del reclamante e del collegato servizio di localizzazione fornito dalla Società. Il titolare del trattamento ha fornito riscontro con note del 29 dicembre 2021 e 26 maggio 2022.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

Il 13 luglio 2022 l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. a), 6 e 28, par. 3 del Regolamento. La Società, con nota del 12 settembre 2022, ha dichiarato che:

a. “Fermo restando l'importanza della stipula di un atto di nomina a responsabile del trattamento, obbligo che attualmente Verizon […] impone puntualmente ai propri clienti nell'ambito di tutti i rapporti contrattuali instaurati dopo l'entrata in vigore del GDPR, il grado di gravità della presunta violazione contestata nel caso di specie a Verizon è certamente molto basso, in ragione del fatto che essa si riferisce solamente alla formalizzazione del rapporto tra il titolare del trattamento (Giessegi) e il responsabile del trattamento (Verizon), ma non comporta, in alcun modo, una violazione dei diritti posti a tutela della protezione dei dati personali del [reclamante]” (nota 12/9/2022, p. 2);

b. “si contesta l’esistenza stessa, nel caso specifico, della violazione da parte di Verizon, in quanto la contestazione è basata su una specifica interpretazione dell'Articolo 28 del GDPR, offerta dalle "Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR" ("Linee guida"), adottate dall’European Data Protection Board ("EDPB") il 7 luglio 2021; vale a dire dopo la cessazione del rapporto contrattuale tra Verizon e Giessegi” (nota cit., p. 2);

c. “secondo l'EDPB, sin dall’entrata in vigore del GDPR vi è stata una mancanza di chiarezza in relazione ai concetti di titolare/responsabile del trattamento, che richiede un chiarimento anche per quanto riguarda gli obblighi di cui all'Articolo 28 del GDPR e le responsabilità derivanti dalla mancata osservanza degli stessi. Infatti, da un lato, l'Articolo 28, paragrafo 1, del GDPR impone solo al titolare del trattamento l'obbligo di avvalersi di responsabili del trattamento in grado di soddisfare i requisiti stabiliti dal GDPR, dall'altro l'Articolo 28, paragrafo 3, del GDPR non fornisce alcuna indicazione in merito all'obbligo di concludere un atto di nomina a responsabile del trattamento, e alle relative responsabilità” (nota cit., p. 3);

d. “nel suo "Parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento"" […] - che costituiva peraltro l'unica guida disponibile sull'argomento al momento dell'entrata in vigore e della cessazione del rapporto contrattuale tra Verizon e Giessegi - il Gruppo di lavoro Articolo 29 non ha fornito alcun chiarimento in merito all'obbligo di stipulare un accordo sul trattamento dei dati e alle responsabilità derivanti dal suo mancato rispetto” (nota cit., p. 3);

e. “Questa incertezza ha portato a pareri divergenti sull'obbligo gravante sul responsabile di stipulare un atto di nomina ex art. 28 del GDPR e sulle sue responsabilità in caso di mancata osservanza. In particolare, Verizon, dopo che Giessegi ha accettato le Condizioni generali del servizio […] in cui […] era chiaramente indicato che il cliente, in qualità di titolare del trattamento dei dati, era tenuto a nominare Verizon (allora Visirun S.p.A.) quale responsabile del trattamento dei dati, non ha ritenuto di essere vincolata all'obbligo di impegnarsi proattivamente con Giessegi […]. In effetti, Verizon ha agito in buona fede e nella ferma convinzione di essere conforme alla legislazione e ai regolamenti applicabili in materia di protezione dei dati” (nota cit., p. 3);

f. “È evidente che da una lettura sistematica del GDPR (o anche solo degli Articoli 5, 6 e 28 dello stesso), gli Articoli 5 e 6 citati dal Garante si riferiscono alla base giuridica che legittima il trattamento dei dati personali da parte del titolare del trattamento […] Il ruolo di responsabile del trattamento e i limiti della sua azione sono disciplinati, al contrario, dall'Articolo 28” (nota cit., p. 4);

g. “Verizon ribadisce di non essersi ritenuta obbligata ad imporre a Giessegi la stipula di un atto di nomina a responsabile del trattamento […]. Le Linee Guida EDPB, infatti, sono state adottate dopo la cessazione del rapporto contrattuale tra la Società e Giessegi” (nota cit., p. 4);

h. “Verizon ha implementato misure di sicurezza amministrative, tecniche e fisiche per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi, delle reti e dei dati personali dei clienti”, ciò “nonostante la mancata stipula di un atto di nomina a responsabile del trattamento” (nota cit., p. 5);

i. “Verizon ha sempre collaborato con il Garante, fornendo le proprie risposte alle richieste di informazioni ricevute, integrate da numerosi allegati che descrivono le politiche e le procedure interne della Società, in modo tempestivo e puntuale” (nota cit., p. 5);

j. “La presunta violazione non riguardava il trattamento di "categorie particolari di dati personali" (di cui all'Articolo 9 del GDPR) o di "dati personali relativi a condanne penali e reati" (di cui all'Articolo 10 del GDPR)” (nota cit., p. 6);

k. “Verizon desidera sottolineare che lo stabilimento principale del gruppo in Europa è Verizon Ireland Limited, con sede legale in […], Irlanda”; in proposito “Verizon non ha menzionato la questione dello stabilimento principale fino ad ora, poiché la Società ha inteso di essere stata coinvolta nel caso Giessegi dal Garante come fornitore terzo e soggetto informato sui fatti. Tuttavia, a seguito dell'apertura di una procedura di infrazione direttamente contro Verizon per la presunta violazione delle disposizioni del GDPR, desideriamo sottolineare che qualsiasi ulteriore indagine che coinvolga la conformità e la responsabilità del gruppo Verizon nei confronti delle violazioni del GDPR dovrebbe coinvolgere il DPC irlandese attraverso la procedura di cooperazione ai sensi dell'Articolo 56 del GDPR” (nota cit., p. 6).

3. L’esito dell’istruttoria.

3.1. Il trattamento di dati personali effettuato dalla Società.

In base agli elementi acquisiti nel corso dell’attività istruttoria, risulta accertato che la Società ha stipulato con Giessegi Industria Mobili S.p.A. un contratto per la fornitura di un servizio di localizzazione di veicoli - che si avvale anche della installazione di dispositivi di geolocalizzazione – sulla base di ordini datati 22/1, 8/2, 3/3, 5 e 9/5, 15/6 del 2016 in esecuzione dei quali sono stati forniti al cliente 76 dispositivi di geolocalizzazione.

Il rapporto con il fornitore del servizio di localizzazione si è interrotto a fine 2020 (in proposito, per la precisione, Giessegi Industria Mobili S.p.A. ha dichiarato che l’interruzione è avvenuta a novembre 2020; mentre la Società ha rappresentato che il contratto è stato risolto il 31 dicembre 2020 [v. nota della Società del 14/1/2022, punto 2, lett. c]).

Tale servizio di geolocalizzazione consente di acquisire ed elaborare dati relativi alla circolazione del veicolo utilizzato dal vettore, raccolti dal dispositivo installato a bordo, consultabili mediante un applicativo web.

La Società ha indicato le caratteristiche standard del servizio “Light” oggetto del contratto con il cliente Giessegi (localizzazione mediante sistema GPS, controllo su mappa della distanza percorsa da ciascun veicolo, calcolo dei chilometri, del tempo di viaggio e della velocità media di guida, con conservazione dei dati, in relazione al caso di specie, per 12 mesi).

Secondo quanto dichiarato “tutti i tragitti percorsi erano registrati e rimanevano disponibili nei sistemi di Visirun nel rispetto del periodo di conservazione illustrato in precedenza”. In relazione a tali attività di trattamento la stessa Società ha dichiarato che “Verizon agisce come responsabile del trattamento dei dati. Questi ruoli erano specificati all'articolo 18 dei T&C sottoscritti da Giessegi nel 2016 […] e risultano ancora più chiari da quanto previsto dall'articolo 17.4 dell'attuale versione dei T&C”.

Con riferimento alle attività di trattamento effettuate dalla Società in esecuzione degli ordini emessi da Giessegi Industria Mobili S.p.A. si rileva, infine, che − contrariamente a quanto ritenuto nelle memorie difensive − le procedure di cooperazione previste dal Regolamento (capo VII, Sez. I) non trovano applicazione.

La definizione di “trattamento transfrontaliero” contenuta nel Regolamento − la cui effettuazione costituisce il presupposto per l’applicazione delle predette procedure (v. art. 56. par. 1 del Regolamento) − fa riferimento a due distinte ipotesi.

Nella prima si ha riguardo al “trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro” (art. 4, n. 23, lett. a) del Regolamento).

La seconda ipotesi fa riferimento invece al “trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro” (art. 4, n. 23, lett. b) del Regolamento).

Nel caso di specie l’attività di accertamento svolta dal Garante non ha riguardato trattamenti di dati effettuati da Verizon Ireland Limited, con sede legale in Irlanda, nei confronti di soggetti interessati che operano sul territorio nazionale e comunque “in più di uno Stato membro”, né la società italiana risulta essere uno “stabilimento” della società capogruppo posto che Verizon Connect Italy S.p.A., controllata da Verizon Ireland Limited, è un autonomo soggetto giuridico che ha sede legale in Italia (v. anche, in proposito, il cons. 36 del Regolamento).

Nel caso di specie, infatti, i trattamenti oggetto dell’attività di controllo avviata dall’Autorità a seguito della presentazione di un reclamo sono stati effettuati in esecuzione di contratti stipulati dalla società italiana con altra società avente sede legale in Italia (contratti che hanno pertanto definito il quadro di riferimento per le finalità e le modalità dei trattamenti stessi), il che esclude la loro possibile natura transfrontaliera come invece prospettato dalla società (senza fornire alcuna evidenza in proposito se non la mera appartenenza della società italiana ad un gruppo di imprese).

In tale ipotesi si applica pertanto l’art. 55 del Regolamento che stabilisce la competenza delle Autorità di controllo nazionali a esercitare i poteri e ad assolvere i compiti a essa attribuiti dal Regolamento in relazione ai trattamenti effettuati sul territorio nazionale dal soggetto ivi stabilito, per i quali lo stesso agisca in qualità di autonomo titolare (v. art. 55 e considerando 122 del Regolamento).

L’esistenza di un gruppo di società, infatti, non ha come conseguenza la configurazione di un nuovo centro di imputazione di rapporti giuridici che si sovrappone alle singole società facenti parte del gruppo (in senso conforme si vedano le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, versione 2.0, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, p. 32, punto 89: “all’interno di un gruppo di società, una società diversa da quella del titolare del trattamento o del responsabile del trattamento è un terzo, anche se appartiene al medesimo gruppo al quale appartiene la società che agisce in qualità di titolare o di responsabile del trattamento”).

La partecipazione a un gruppo societario, pertanto, non determina una unificazione giuridico-formale degli enti societari coinvolti, i quali mantengono la loro soggettività giuridica.

Peraltro, e unicamente allo scopo di completare il quadro delineato dal Regolamento in materia di procedure di cooperazione tra le autorità di controllo europee, si rileva che pur in presenza di trattamenti transfrontalieri (non rinvenuti nel caso di specie, come già argomentato) l’autorità nazionale dello stabilimento rimane competente nel caso in cui la stessa riceva un reclamo o nel caso di eventuali violazioni del Regolamento se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incida in modo sostanziale sugli interessati unicamente nel suo Stato membro (art. 56, par. 2, Regolamento).

In conclusione, per i motivi su esposti, nessuna norma del Regolamento attribuisce la competenza a trattare il reclamo che ha dato luogo all’istruttoria conclusa con il presente provvedimento all’Autorità irlandese, come invece ritenuto dalla Società.

3.2. La violazione degli artt. 5, par. 1, lett. a), 6 e 28 del Regolamento.

La Società, in esecuzione del contratto stipulato con il cliente Giessegi, ha effettuato attività di trattamento di dati personali riferiti al reclamante attraverso il dispositivo Visirun n. 30006717 risultato attivo fino al 23 novembre 2020 (nonché agli altri interessati che hanno utilizzato i veicoli sui quali sono stati installati gli altri dispositivi di geolocalizzazione) in qualità di responsabile del trattamento, posto che la determinazione delle finalità e dei mezzi del trattamento stesso spettavano al cliente al quale è stato fornito il servizio (v. art. 4, n. 8 del Regolamento contenente la definizione di “responsabile del trattamento”).

Sulla base dell’analisi delle circostanze concrete relative al trattamento oggetto di reclamo risulta che la Società ha dunque effettuato attività di trattamento di dati personali riferiti al reclamante e ad altri trasportatori, in esecuzione, per quanto riguarda il reclamante, di ordini di fornitura del servizio “Light”, per un periodo compreso tra il febbraio 2016 e novembre/dicembre 2020, senza avere adeguatamente definito il rapporto con il cliente/titolare del trattamento e in assenza di specifiche istruzioni predisposte da quest’ultimo, conformemente a quanto stabilito dall’art. 28 del Regolamento.

Il titolare del trattamento, nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, anche sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento), può avvalersi di un responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. considerando 81 del Regolamento).

In tal caso il titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento).

Ai sensi dell’art. 28 del Regolamento, il titolare può quindi affidare un trattamento anche a soggetti esterni, disciplinandone il rapporto con un contratto o un altro atto giuridico e impartendo le istruzioni in merito alle caratteristiche principali del trattamento, anche con riferimento, per quanto concerne il caso di specie, alla “natura e la finalità del trattamento”, la “durata del trattamento”, “gli obblighi e i diritti del titolare del trattamento”, le modalità con le quali il responsabile assiste il titolare in relazione all’obbligo di quest’ultimo “di dare seguito alle richieste per l’esercizio dei diritti dell’interessato” nonché le operazioni da effettuare “dopo che è terminata la prestazione dei servizi relativi al trattamento”.

Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati sulla base della disciplina posta da un contratto o altro atto giuridico che lo vincoli al titolare e “soltanto su istruzione documentata” di quest’ultimo (art. 28, par. 3, lett. a), del Regolamento).

Il Regolamento disciplina, inoltre, ulteriori specifici obblighi e forme di cooperazione cui è tenuto il responsabile del trattamento e l’ambito delle responsabilità che incombono rispettivamente sul titolare e sul responsabile (v. artt. 30, parr. 2 e 3, 32, 33, par. 2, 82 e 83 del Regolamento).

Pertanto, alla luce del tenore letterale delle norme di riferimento, non può essere accolta l’obiezione proposta dalla Società nelle proprie memorie difensive secondo la quale solo le già citate Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento, adottate il 7 luglio 2021, avrebbero chiarito il contenuto dell’art. 28 del Regolamento.

Tale disposizione, infatti, prevede espressamente che “i trattamenti da parte di un responsabile sono disciplinati da un contratto e da altro atto giuridico […] che vincoli il responsabile al titolare del trattamento” e che il responsabile, in base a tale contratto o altro atto, “tratt[a] i dati personali soltanto su istruzione documentata del titolare del trattamento”.

Le espressioni utilizzate dal legislatore eurounitario indicano dunque, con sufficiente chiarezza, le condizioni necessarie affinché i trattamenti effettuati dal responsabile, nel caso in cui il titolare abbia deciso di affidarne l’esecuzione a diverso soggetto, siano leciti.

Le richiamate Linee guida 07/2020 hanno del resto confermato il significato inequivoco delle norme sul punto: “Poiché il regolamento stabilisce con chiarezza l’obbligo di stipulare un contratto scritto, qualora non sia in vigore nessun altro atto giuridico pertinente si ha una violazione del GDPR. Sia il titolare sia il responsabile del trattamento hanno la responsabilità di garantire l’esistenza di un contratto o di un altro atto giuridico che disciplini il trattamento. Fatte salve le disposizioni di cui all’articolo 83 del GDPR, l’autorità di controllo competente potrà infliggere una sanzione amministrativa pecuniaria sia al titolare sia al responsabile del trattamento, tenendo conto delle circostanze di ogni singolo caso. I contratti stipulati prima della data di applicazione del GDPR dovrebbero essere stati aggiornati ai sensi dell’articolo 28, paragrafo 3. L’assenza di tale aggiornamento, inteso ad allineare un contratto precedentemente esistente ai requisiti del GDPR, costituisce una violazione dell’articolo 28, paragrafo 3” (Linee guida cit., pag. 35, punto 103).

La disciplina su richiamata è applicabile ai fatti oggetto di reclamo, in base al principio “tempus regit actum” (art. 1, comma 2, della legge n. 689 del 24/11/1981), tenuto conto che i trattamenti, iniziati nel 2016, si sono protratti fino alla fine del 2020, con conseguente applicabilità dell’art. 28 del Regolamento vigente nel momento della cessazione della condotta.

In ogni caso, anche antecedentemente all’applicazione del Regolamento nel nostro ordinamento, l’art. 29 del D. Lgs. n. 196 del 2003 (testo all’epoca vigente) prevedeva che un trattamento di dati per conto del titolare potesse essere lecitamente effettuato solo in caso di conferimento del relativo incarico in base a specifiche istruzioni da parte del titolare.

Tale ricostruzione, già affermata dal Garante in precedenti decisioni (v. provv.to 21/7/2022 n. 268, doc. web n. 9811271) trova conferma nella pronuncia con la quale la Corte di Cassazione (v. Cass., Sez. I Civ., ordinanza n. 21234 del 23 luglio 2021, con riguardo al trattamento di dati personali effettuato in un diverso contesto), nel confermare un provvedimento del Garante, ha tra l’altro precisato che “l'accordo intercorrente tra il "titolare" ed il "responsabile" è legislativamente previsto e non è destinato solo a regolare i rapporti inter partes, con valenza meramente interna, sotto il profilo dell'eventuale inadempimento contrattuale […] perché la disciplina ivi dettata dal "titolare", in merito alle finalità e alle modalità del trattamento, assurge ad elemento necessario per la qualificazione di "responsabile" nel caso concreto”.

Inoltre, considerata la mancanza della dovuta designazione a responsabile e della contestuale indicazione delle caratteristiche dei trattamenti da effettuare all’interno delle istruzioni, i trattamenti di dati nell’ambito della fornitura del servizio di geolocalizzazione sono stati effettuati dalla Società, per un periodo significativo di tempo, in assenza di un idoneo presupposto di liceità posto che nel caso concreto non è stato rinvenuto alcun autonomo (e ulteriore) presupposto di liceità in relazione alle predette attività di trattamento.

In proposito non può essere accolta l’obiezione della Società in base alla quale “gli Articoli 5 e 6 citati dal Garante si riferiscono alla base giuridica che legittima il trattamento dei dati personali da parte del titolare del trattamento” e “Il responsabile del trattamento […] è un terzo fornitore a cui non può estendersi la responsabilità del titolare del trattamento nei confronti di terzi”, posto che gli artt. 5 e 6 del Regolamento, nel fissare i principi applicabili al trattamento dei dati personali e le condizioni di liceità del trattamento, già nella scelta delle parole utilizzate ed il loro significato letterale, prescindono dalla qualificazione giuridica di chi effettua il trattamento e si riferiscono, piuttosto, ai principi e alle condizioni che devono caratterizzare il trattamento stesso (v. anche il cons. 39 del Regolamento: “Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. […]” e il cons. 40: “Perché sia lecito il trattamento di dati personali dovrebbe fondarsi sul consenso o su altra base legittima prevista per legge dal presente regolamento o dal diritto dell’Unione o degli Stati membri”).

In proposito, dal punto di vista sistematico, devono altresì essere tenute in considerazione le definizioni di “comunicazione” di dati, che costituisce una delle possibili modalità del trattamento e pertanto può essere effettuata solo in presenza di una delle condizioni che ne legittimino l’effettuazione (v. art. 2-ter, co. 4, lett. a), del Codice), e di “terzo”, ossia la persona fisica o giuridica diversa dall’interessato, dal titolare, dal responsabile e dai soggetti che agiscono sotto l’autorità diretta del titolare o del responsabile (art. 4, n. 10 del Regolamento).

Le richiamate Linee guida 07/2020, del resto, confermano tale ricostruzione: “un rapporto titolare-responsabile del trattamento potrebbe sussistere anche in assenza di un accordo di trattamento per iscritto. Ciò implicherebbe, tuttavia, una violazione dell’articolo 28, paragrafo 3, del GDPR. Inoltre, in determinate circostanze, l’assenza di una definizione chiara del rapporto tra il titolare e il responsabile del trattamento può comportare il problema della mancanza di una base giuridica su cui qualsivoglia trattamento dovrebbe basarsi, ad esempio in merito alla comunicazione dei dati tra il titolare e il presunto responsabile del trattamento” (Linee guida cit., p. 35, nota 42).

Nel caso di specie, dato che il rapporto tra Giessegi, titolare del trattamento, e Visirun S.p.A. non è stato adeguatamente regolato da appositi atti giuridici, che non risultano essere state impartite nel contempo le dovute istruzioni, e che il regolamento contrattuale in essere tra le parti non conteneva né – al momento della sua predisposizione - gli elementi previsti dall’art. 29 del D.lgs. n. 196 del 2003 né, successivamente all’applicazione del Regolamento, quelli indicati dall’art. 28 del Regolamento, emerge che i trattamenti effettuati dalla Società sono avvenuti in violazione dell’art. 28, par. 3 del Regolamento.

Nonostante anche all’interno del documento contenente Termini e Condizioni del contratto stipulato tra il fornitore del servizio e il cliente la Società avesse chiarito la propria qualificazione in termini di responsabile del trattamento e la necessità di procedere alla relativa designazione (v. nota della Società 14/1/2022, All. 7 e 8, spec. punto 18), non risulta che la Società stessa abbia richiesto al cliente, prima di avviare il servizio, di provvedere a tale adempimento e comunicare le necessarie istruzioni relative alle concrete modalità con le quali effettuare il trattamento dei dati.

Né alcun sollecito risulta essere stato rivolto al cliente nemmeno successivamente al momento dell’applicazione del Regolamento nell’ordinamento nazionale.

Inoltre, per le ragioni su esposte, la Società ha agito in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento, in base ai quali un trattamento è lecito solo se ricorre almeno una delle condizioni tassativamente indicate dall’ordinamento (in particolare, per i dati c.d. comuni, dall’art. 6 del Regolamento) (in senso conforme v. precedenti decisioni dell’Autorità, tra cui: provv. 17/9/2020, n. 160 e 161, doc. web nn. 9461168 e 9461321; provv. 11/2/2021, n. 49, doc. web n. 9562852).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dalla Società nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente il trattamento dei dati relativi alla posizione geografica dell’interessato risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), 6 e 28 del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’applicazione una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) del Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento risulta che Verizon Connect Italy S.p.A. ha violato gli artt. 5, par. 1, lett. a), 6 e 28 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura e gravità della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento; in relazione alla durata della violazione è stato considerato che questa si è protratta per più di quattro anni, nell’arco di un periodo compreso tra il mese di febbraio del 2016 e la fine di dicembre del 2020; è stato altresì considerato che i trattamenti effettuati in violazione del Regolamento hanno riguardato, oltre al reclamante, anche gli altri interessati riconducibili ai veicoli oggetto di geolocalizzazione mediante i dispostivi consegnati a Giessegi Industria Mobili S.p.A.;

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della Società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni riguardanti anche i principi generali del trattamento (liceità);

c) a favore della Società si è tenuto conto della cooperazione con l’Autorità di controllo e della assenza di precedenti violazioni pertinenti.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2021. Si è tenuto altresì conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Verizon Connect Italy S.p.A., la sanzione amministrativa del pagamento di una somma pari ad euro 30.000 (trentamila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Verizon Connect Italy S.p.A., in persona del legale rappresentante, con sede legale in Via Annibale Zucchini 53 Ferrara (FE), C.F. 01744310382, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), 6 e 28 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Verizon Connect Italy S.p.A., di pagare la somma di euro 30.000 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 30.000 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Rispondi