Con la sentenza del 5 dicembre 2023 (causa C-683/21), la Corte di Giustizia, in una controversia relativa al trattamento dei dati personali tramite app di tracciamento, ha offerto ulteriori chiarimenti su alcune nozioni fondamentali, quale quella di titolare del trattamento, e sui poteri sanzionatori delle autorità di controllo nazionali. In tal modo, la Corte ha confermato la centralità del ruolo dei titolari del trattamento e sancito l’impossibilità di sanzionarli in difetto del carattere colposo o doloso della violazione.
La Corte di Giustizia, con sentenza del 5 dicembre 2023 (causa C-683/21), ha sciolto alcuni dubbi interpretativi relativi al trattamento di dati personali tramite app di tracciamento e al regime dei poteri sanzionatori delle autorità di controllo in materia di data protection.
La pronuncia ha riguardato, nella specie, lo sviluppo di un sistema informatico in Lituania volto alla registrazione e al monitoraggio dei dati delle persone esposte al virus COVID-19. Non è la prima volta che la Corte di giustizia interviene rispetto a simili applicazioni. Pochi mesi prima, con sentenza del 5 ottobre 2023 (causa C-659/22), la Corte del Lussemburgo si era pronunciata rispetto all’app «čTečka», sviluppata dal Ministero della Salute della Repubblica ceca, che consentiva di verificare la validità dei certificati COVID digitali dell’UE. In quella occasione, la Corte ha rilevato che il controllo dei certificati integrava un trattamento di dati personali.
Nel caso più recente, tuttavia, la vicenda è più complessa.
Il Centro nazionale per la sanità pubblica, su incarico del Ministro della Sanità della Repubblica lituana, avviava con una società una procedura negoziata senza previa pubblicazione del bando di gara. L’intento era quello di affidare a quest’ultima
l’elaborazione di una app che raccogliesse e controllasse i dati di persone in contatto con altre affette da COVID‑19. La procedura avviata non veniva portata a termine a causa di una carenza di fondi del Ministero; di conseguenza, non veniva sottoscritto alcun contratto di appalto. Tuttavia, prima che il Centro nazionale per la sanità pubblica comunicasse di aver posto fine alla procedura negoziata, la app (denominata «KARANTINAS») era stata resa disponibile dalla società stessa alla collettività e continuava ad essere liberamente scaricabile anche dopo l’interruzione della procedura negoziata. In particolare, nella policy di protezione dei dati dell’app, il Centro e la società venivano individuati come titolari del trattamento. Successivamente, l’Ispettorato nazionale per la protezione dei dati della Lituania (l’equivalente del Garante italiano per la privacy) rilevava che l’app, pur se addestrata solo con dati fittizi, raccoglieva i dati personali dagli utenti che la utilizzavano. Per tali ragioni, l’autorità lituana irrogava una sanzione di 12.000 euro al Centro nazionale per la sanità pubblica e di 3000 euro alla società, identificando i due soggetti come contitolari del trattamento.
A fronte del trattamento così ricostruito, i punti salienti della pronuncia sono essenzialmente tre: la qualificazione del titolare del trattamento; la nozione di trattamento; il regime del potere sanzionatorio delle autorità nazionali di controllo.
In primo luogo, la Corte adotta un approccio sostanzialista al fine di individuare il titolare del trattamento, rilevando che può essere considerato tale «un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali» (p.to 38 della sentenza), anche se l’ente non ha eseguito direttamente operazioni di trattamento o dato esplicito consenso alla diffusione dell’app. Fatte salve le ulteriori verifiche spettanti al giudice del rinvio, la Corte rileva che, da quanto emerge dai fatti di causa, i parametri dell’applicazione sono stati adattati alle esigenze del Centro nazionale per la sanità pubblica e che questo ha svolto un ruolo attivo nella loro determinazione. In tali circostanze, il fatto che il Centro non trattasse direttamente alcun dato personale, che non ci fosse alcun contratto tra il Centro e la società, che il Centro non avesse acquistato l’app o che la distribuzione dell’app in negozi online non fosse autorizzata dal Centro non osta a che quest’ultimo venga qualificato come «titolare del trattamento» (p.to 35 della sentenza). L’unica eccezione riguarda il caso in cui l’ente titolare si sia espressamente opposto all’esecuzione del trattamento (nel caso di specie, alla messa in circolazione dell’app). Il giudice europeo, naturalmente, rimette al giudice del rinvio la soluzione nel caso concreto, in base ai criteri individuati. Lo stesso approccio sostanzialista viene applicato rispetto alla prospettazione di un rapporto di contitolarità (art. 26 GDPR), eventualmente configurabile tra il Centro nazionale per la sanità pubblica e la società. Si nega, infatti, che il rapporto di contitolarità sorga in dipendenza di un previo accordo, ponendo l’attenzione sull’effettiva incidenza degli interventi di ciascun soggetto su finalità e mezzi del trattamento, nonché su come si integrino fra loro i menzionati interventi.
Rispetto alla nozione di trattamento, i giudici osservano che la finalità del trattamento (anche di test informatico) non esclude che una determinata operazione su dati personali consista in un trattamento e, dunque, rientri nella sfera applicativa del GDPR. Solo qualora siano usati dati fittizi – non riconducibili, pertanto, ad alcun individuo – per addestrare l’applicazione, si potrebbe operare un trattamento di dati (non personali), al di fuori della normativa in materia di data protection. Si tratta di indicazioni facilmente desumibili dagli orientamenti giurisprudenziali in tema di anonimizzazione, ma comunque utili per comprendere i limiti delle possibilità di sperimentare nuovi trattamenti, anche attraverso tecnologie innovative come l’IA.
Più rilevanti, tuttavia, sono le considerazioni svolte in merito all’esercizio di poteri sanzionatori da parte delle autorità nazionali di controllo sul trattamento di dati personali. La Corte ricorda che il GDPR garantisce agli Stati membri un margine di manovra in tale ambito, ad esempio, rispetto all’assoggettabilità di autorità pubbliche e organismi pubblici ai poteri sanzionatori delle autorità di controllo in caso di violazioni. Tuttavia, interpretando le norme del GDPR, in particolare l’art 83 GDPR, si esclude che sussista alcun margine di discrezionalità in capo agli Stati membri nel senso di prevedere che il potere sanzionatorio possa essere esercitato in assenza di un’indagine relativa all’elemento soggettivo della violazione. In altri termini, le sanzioni possono essere irrogate a titolari e responsabili del trattamento solo a titolo di dolo e colpa.
Inoltre, la Corte puntualizza che il titolare del trattamento resta assoggettabile a sanzione anche qualora si avvalga di un responsabile del trattamento (art. 28 GDPR), a meno che il «responsabile del trattamento abbia effettuato trattamenti per finalità che gli sono proprie o abbia trattato tali dati in modo incompatibile con il quadro o le modalità del trattamento quali erano stati determinati dal titolare del trattamento o in modo tale che non si può ragionevolmente ritenere che tale titolare abbia a ciò acconsentito» (p.to 86 della sentenza).
La Corte non si pronuncia sulle conseguenze, nel caso di specie, di questa impostazione, ma pare difficile negare che la messa a disposizione dell’app da parte della società prima della conclusione della procedura negoziata possa integrare una condotta prevedibile per il Centro, qualora questo fosse qualificato come effettivo titolare del trattamento.
La sentenza offre numerosi spunti per i trattamenti di dati personali tramite applicazioni informatiche, ma, a ben vedere, fornisce pure indicazioni di ordine generale. In particolare, si percepisce lo sforzo di riconnettere la qualifica di titolare e le responsabilità che ne conseguono all’effettivo ruolo esercitato sul trattamento, al di là di quanto potrebbe emergere anche da atti formali di incarico. Al tempo stesso, questo approccio viene per così dire bilanciato da un temperamento del rigore sanzionatorio, ricordando che va valutato l’elemento soggettivo e che vi sono alcuni comportamenti di terzi che possono fuoriuscire dalla sfera di controllo del titolare.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0