Il Garante sanziona autostrade per l’Italia per la APP di gestione dei rimborsi “Free to X”.
Per approfondire si consiglia il volume: I ricorsi al Garante della privacy
1. I fatti
Un’associazione di consumatori inviava una comunicazione al Garante per la protezione dei dati personali sostenendo che vi fossero delle possibili violazioni della normativa a tutela dei dati personali da parte della Società autostrade per l’Italia e della collegata società Free To X , in ordine al trattamento dei dati personali degli utenti attraverso l’applicazione utilizzata per rimborsare agli utenti il costo del biglietto autostradale a causa dei ritardi dovuti ai cantieri che eseguivano lavori lungo la rete autostradale.
Il garante chiedeva chiarimenti alla società autostradale, la quale dichiarava che il sistema di rimborso oggetto della comunicazione da parte dell’associazione consumatori era stato realizzato per dare esecuzione ad un accordo transattivo intervenuto tra la stessa società e il ministero dei trasporti, con cui era stato definito il procedimento introdotto nei confronti della società per asserito inadempimento.
In particolare, la società faceva presente di aver chiesto allo stesso ministero un nullaosta ad utilizzare il suddetto meccanismo di rimborso, nel quale aveva descritto in maniera dettagliata che il rimborso agli utenti sarebbe stato offerto attraverso la società Free To X (interamente controllata da autostrade per l’Italia), alla quale veniva affidato un appalto chiavi in mano per l’esecuzione di detto servizio.
In secondo luogo, la società autostradale faceva presente che, con riferimento al trattamento dei dati personali posto in essere nell’ambito del servizio di rimborso, autostrade per l’Italia operava quale responsabile del trattamento.
Infine, la società evidenziava che il numero complessivo utenti iscritti all’applicazione in questione era di circa 300.000, a fronte di milioni di utenti del servizio autostradale.
Il garante provvedeva, quindi, a chiedere informazioni anche alla società controllata Free To X, la quale faceva presente che, il sistema in oggetto aveva la finalità di riconoscere agli utenti autostradali dei rimborsi a causa dei ritardi dovuti alla presenza di cantieri per l’esecuzione di lavori straordinari di manutenzione sulle strade gestite da autostrade per l’Italia.
In secondo luogo, precisava che, con riferimento al trattamento dei dati personali posto in essere nell’ambito del servizio di rimborso, la stessa operava quale titolare del trattamento.
Infine, la società controllata precisava che, ai fini dell’individuazione del titolare del trattamento, erano stati presi in considerazione il fatto che l’ideazione e la successiva gestione del servizio di rimborso sarebbero avvenute ad opera della stessa società controllata con pieni e autonomi poteri decisionali, nonché il fatto che anche i mezzi del trattamento dei dati degli utenti (quali per esempio la tipologia di dati, il periodo di conservazione, le misure di sicurezza) sarebbero stati decisi dalla società controllata.
Preso atto dei chiarimenti resi da entrambe le società, il garante notificava ad autostrade per l’Italia una comunicazione di avvio del procedimento sanzionatorio nei suoi confronti, stante la non corretta configurazione dei ruoli di titolare e di responsabile del trattamento e la conseguente erroneità dell’informativa privacy resa agli utenti del servizio di rimborso.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Preliminarmente, il garante ha evidenziato che i servizi offerti mediante la App in questione comportano distinte operazioni di trattamento degli utenti, effettuate, a diverso titolo, da autostrade per l’Italia e da Free to X S.r.l. in particolare, vi sono le operazioni relative all’erogazione del servizio di rimborso e altre operazioni di trattamento relative, invece, ad altri servizi correlati, nonché le operazioni relative alla registrazione e alla gestione dell’account di ogni utente.
Pertanto, con riferimento ad ogni tipologia di trattamento, devono essere individuati i soggetti che trattano i suddetti dati personali e devono essere identificate, in maniera chiara, le rispettive attribuzioni di titolare e di responsabile del trattamento.
Il titolare del trattamento, ai sensi della normativa in materia di privacy, è colui il quale stabilisce le finalità e i mezzi del trattamento. In altri termini, il titolare è il soggetto che, in piena ed esclusiva autonomia, decide a quale fine o per che cosa viene svolto il trattamento e quali mezzi vengono impiegati per raggiungere il suddetto fine.
Invece, il responsabile del trattamento è colui il quale agisce per conto del titolare, seguendo le istruzioni impartite da quest’ultimo con riferimento alle finalità del trattamento e ai mezzi e modalità impiegate per raggiungere detta finalità.
All’esito dell’istruttoria effettuata, il garante ha accertato che, nel caso di specie, il meccanismo di rimborso (realizzato attraverso la applicazione in questione) è stato individuato da Società autostrade per l’Italia, in qualità di concessionario della rete autostradale e in esecuzione di quanto previsto nell’accordo transattivo sottoscritto con il ministero. Inoltre, è stata la stessa suddetta società ad individuare la tipologia delle misure compensative previste nel suddetto accordo transattivo nonché le modalità con cui adempiere a dette misure, previo ottenimento del nullaosta da parte del ministero. In altri termini, secondo il garante, è stata la società autostradale ad aver ideato il meccanismo di rimborso oggetto del procedimento e a dare l’incarico alla società controllata di sviluppare una applicazione per la gestione dei rimborsi agli utenti. Inoltre, è stata sempre autostrade per l’Italia ad individuare le condizioni e i requisiti della richiesta di rimborso da parte degli utenti.
Pertanto, alla società controllata sono stati affidati soltanto compiti esecutivi e di attuazione del servizio di rimborso, sulla base di criteri che erano già stati puntualmente stabiliti da autostrade per l’Italia.
In considerazione di ciò, il garante ha ritenuto che le finalità e i relativi mezzi del trattamento sono stati determinati dalla società autostradale e pertanto quest’ultima ha il ruolo di titolare del trattamento.
Invece la società controllata, poiché con riferimento al servizio di rimborso agisce come mera esecutrice delle indicazioni della società autostradale, riveste il ruolo di responsabile del trattamento.
Infine, il garante ha evidenziato come, ai fini dell’individuazione delle due figure di cui sopra, risulti del tutto irrilevante quanto indicato nell’atto di designazione del responsabile sottoscritto tra le parti, nonché il fatto che la società controllata avesse alcuni margini di autonomia decisionale in ordine alla ideazione e alla gestione dell’applicazione.
3. La decisione del Garante
In considerazione di tutto quanto sopra, quindi, il Garante ha ritenuto che l’individuazione di autostrade per l’Italia quale responsabile del trattamento e della società controllata quale titolare del trattamento risulti contraria e in violazione alla normativa in materia di definizione dei ruoli dei soggetti coinvolti nel trattamento. Alla suddetta violazione, inoltre consegue l’ulteriore violazione della non corretta informativa privacy resa agli utenti, nella misura in cui la stessa non indicava correttamente i ruoli di titolare e di responsabile del trattamento.
In ragione di tale illiceità il Garante ha deciso di adottare nei confronti di autostrade per l’Italia una sanzione amministrativa pecuniaria.
Per quanto concerne la quantificazione della sanzione pecuniaria, il Garante ha valutato, da un lato, la rilevante gravità della violazione posta in essere dal titolare (tenuto conto del fatto che la violazione ha riguardato le disposizioni relative ai principi generali del trattamento) e, dall’altro lato, ha preso in considerazione che non vi era alcun precedente a carico del titolare del trattamento nonché il fatto che il titolare abbia adottato misure idonee a eliminare o ridurre le conseguenze della violazione. Tuttavia, in applicazione dei principi di effettività, proporzionalità e dissuasività della sanzione, il garante ha dovuto altresì tenere conto delle condizioni economiche del contravventore (in particolare del bilancio relativo all’anno 2021) e conseguentemente ha quantificato la sanzione pecuniaria amministrativa nell’importo di 1 milione di euro.
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento