LexCED: l'assistente legale basato sull'intelligenza artificiale AI. Chiedigli un parere, provalo adesso!

Titolare del trattamento: chi è secondo la Cassazione?

La Corte di Cassazione, con l’ordinanza n. 26969/2023, ha chiarito un punto cruciale in materia di privacy: un’impresa di trasporti diventa titolare del trattamento dei dati di geolocalizzazione dei propri veicoli nel momento in cui le vengono fornite le credenziali di accesso al sistema, anche se non le utilizza mai. La mera disponibilità del potere decisionale sui dati è sufficiente per assumere tale qualifica e i relativi obblighi, ribaltando la decisione del tribunale di merito che aveva escluso la responsabilità della società.

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA
02.37901052
8:00 – 20:00
(Lun - Sab)
Pubblicato il 17 febbraio 2026 in Diritto Civile, Diritto Commerciale, Giurisprudenza Civile

Titolare del trattamento: la disponibilità dei dati è più importante dell’uso effettivo

Con una recente ordinanza, la Corte di Cassazione ha stabilito un principio fondamentale per definire la figura del titolare del trattamento dei dati personali. La mera disponibilità delle credenziali di accesso a un sistema che tratta dati, come quello di geolocalizzazione dei veicoli, è sufficiente per attribuire tale qualifica, anche se l’azienda non ha mai effettuato l’accesso né visualizzato i dati. Questa decisione sottolinea che la responsabilità in materia di privacy deriva dal potere decisionale e dal controllo potenziale sui dati, non necessariamente dal loro utilizzo attivo.

I Fatti di Causa

Una società di trasporti riceveva dal Garante per la Protezione dei Dati Personali un’ordinanza-ingiunzione per il pagamento di una sanzione di 8.000 euro. La violazione contestata era l’omessa notificazione, prevista dal vecchio Codice Privacy (D.Lgs. 196/2003), per l’utilizzo di un sistema di geolocalizzazione installato sui propri mezzi di trasporto merci.

La società si opponeva alla sanzione davanti al Tribunale, sostenendo di non essere il titolare del trattamento. A suo dire, il sistema era stato ideato, sviluppato e gestito interamente da un’altra azienda, fornitrice del servizio, che ne deteneva il database. La società di trasporti si limitava a fornire gli automezzi e gli autisti, e sebbene le fossero state create automaticamente le credenziali di accesso al sistema, non le aveva mai utilizzate né aveva personale dedicato a tale scopo.

Il Tribunale di Sondrio accoglieva l’opposizione, annullando la sanzione. La motivazione si basava sul fatto che la gestione del sistema di geolocalizzazione era esclusiva della società fornitrice.

Contro questa decisione, il Garante della Privacy proponeva ricorso per cassazione.

La Decisione della Corte di Cassazione

La Corte di Cassazione ha accolto il ricorso del Garante, cassando la sentenza del Tribunale e rinviando la causa allo stesso giudice per una nuova valutazione, basata su un principio di diritto chiaramente enunciato.

Secondo la Suprema Corte, il Tribunale ha commesso un errore nel considerare dirimente il mancato utilizzo delle credenziali. Il punto focale, invece, risiede nella disponibilità del potere decisionale sui dati.

Le Motivazioni: la qualifica di titolare del trattamento

Il cuore della decisione della Cassazione risiede nell’interpretazione dell’art. 28 del vecchio Codice Privacy (applicabile al caso ratione temporis). La norma definisce il titolare del trattamento come l’entità che “esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento”.

La Corte ha affermato che il fatto che alla società di trasporti fossero state messe a disposizione le credenziali di accesso ai dati di geolocalizzazione è un “indice significativo” del trasferimento a suo favore della possibilità di esercitare, in modo autonomo, quel potere decisionale. La possibilità di accedere ai dati, di controllarli e di utilizzarli per le proprie finalità aziendali (come la gestione della flotta e dei trasporti) è ciò che qualifica un soggetto come titolare.

Il fatto che tale potere non sia mai stato concretamente esercitato è irrilevante. La legge non richiede un’attività materiale di trattamento, ma la titolarità del potere di decidere come e perché i dati vengono trattati. Pertanto, la società di trasporti, avendo ricevuto le chiavi di accesso al sistema, era diventata a tutti gli effetti titolare del trattamento, con tutti gli obblighi che ne conseguono, inclusa la notificazione al Garante prevista all’epoca dei fatti.

Le Conclusioni: Implicazioni Pratiche della Sentenza

Questa ordinanza ha importanti implicazioni pratiche per tutte le aziende che utilizzano servizi esterni per il trattamento di dati personali, come sistemi di localizzazione, piattaforme CRM o software di gestione del personale.

1. La responsabilità non si delega passivamente: Un’azienda non può sottrarsi ai propri obblighi in materia di privacy semplicemente astenendosi dall’utilizzare gli strumenti messi a disposizione da un fornitore. Se si ha il potere di accedere e gestire i dati, si è considerati titolari (o contitolari) e si è tenuti a rispettare la normativa.

2. Focus sul potere, non sull’azione: La qualifica di titolare del trattamento dipende dal controllo giuridico e fattuale sui dati, non dall’effettivo compimento di operazioni di trattamento. La mera disponibilità di credenziali di accesso è una condizione sufficiente.

3. Necessità di una chiara definizione dei ruoli: È fondamentale che nei contratti con i fornitori di servizi tecnologici i ruoli privacy (titolare, responsabile, contitolare) siano definiti con chiarezza e precisione, per evitare zone grigie e attribuire correttamente le responsabilità.

È sufficiente avere le credenziali di accesso a un sistema di geolocalizzazione per essere considerati ‘titolare del trattamento’?
Sì. Secondo la Corte di Cassazione, la messa a disposizione delle credenziali di accesso ai dati è una condizione sufficiente per attribuire a un’impresa la qualifica di titolare del trattamento, poiché le conferisce un potere decisionale autonomo sulle finalità e modalità del trattamento.

Se un’azienda non utilizza mai le credenziali di accesso ai dati, può comunque essere ritenuta responsabile per violazioni della privacy?
Sì. La Corte ha chiarito che l’effettivo utilizzo delle credenziali o la visualizzazione dei dati è irrilevante. La responsabilità deriva dalla titolarità del potere di decidere sui dati, non dal suo concreto esercizio.

Chi è definito titolare del trattamento ai sensi dell’art. 28 del vecchio Codice Privacy (D.Lgs. 196/2003)?
È l’entità (persona giuridica, pubblica amministrazione, etc.) nel suo complesso o l’unità periferica che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento dei dati, compreso il profilo della sicurezza.

Testo del provvedimento

Ordinanza di Cassazione Civile Sez. 1 Num. 26969 Anno 2023

Civile Ord. Sez. 1 Num. 26969 Anno 2023

Presidente: GENOVESE NOME COGNOME

Relatore: COGNOME NOME

Data pubblicazione: 21/09/2023

ORDINANZA

sul ricorso iscritto al n. 12953/2021 R.G. proposto da:

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, domiciliato in INDIRIZZO, presso l’AVVOCATURA GENERALE DELLO STATO (P_IVA) RAGIONE_SOCIALE che RAGIONE_SOCIALE lo RAGIONE_SOCIALE rappresenta RAGIONE_SOCIALE e RAGIONE_SOCIALE difende STATO

-ricorrente-

contro

TABLE

-intimata-

i

RAGIONE_SOCIALE

Nurnero sezionale 3886f2023

avverso la SENTENZA del TRIBUNALE di SONDRIO 02/11/2020. écdog ì i f i gi e a 2E 7F 9,2023 ata pubblicazione 21.139f2023 omissis

Udita la relazione svolta nella camera di consiglio del 14/09/2023 dal Consi NOME COGNOME.

Fatti di causa

La RAGIONE_SOCIALE propose opposizione avverso l’ordinanza-ingiunzione notificatale dal Garante della privacy nel giugno 2018, per il pagamento della sanzione amministrativa di 8.000,00 EUR, conseguente alla violazione degli artt. 37 e 38 del d.lgs. n. 196 del 2 (codice privacy) per aver “omesso di provvedere alla notificazione prevista dall’art. 37 c. 1 lett. a)” in relazione all’uso di un siste geolocalizzazione installato sui propri mezzi di trasporto di merci s strada.

gli automezzi con gli autisti. fornito dalla RAGIONE_SOCIALE che ne aveva “autonomamente RAGIONE_SOCIALE propri clienti”; mentre la si era limitata a fornire alla Nella resistenza del Garante l’adito tribunale di Sondrio ha accolto l’opposizione sul rilievo che il sistema di geolocalizzazione era st ideato e sviluppato le funzionalità (..) per poter fornire i propri serviz

NOME Su tale base, comprovata dalle deposizioni testimoniali, il tribunale ha concluso nel senso che “solo ed esclusivamente aveva gestito il sistema di geolocalizzazione, avendo a disposizione il data base.

RAGIONE_SOCIALE la non aveva mai che lavorano con Ha aggiunto che sempre dalla prova per testi era emerso che sebbene fossero state create le credenziali di accesso “per tutte le dit effettuato alcun accesso e mai visualizzato i dati di geolocalizzazio “non avendo personale a ciò adibito”, e che in ogni caso la creazione delle credenziali era avvenuta “in modo automatico dal parte del sistema

RAGIONE_SOCIALE

Numero registro generale 129512021

Numero sezionale 3888,2023

Nurnero di raccolta generale NUMERO_CARTA

bbliffione 21,139,2023

informatico della RAGIONE_SOCIALE RAGIONE_SOCIALE · senza alcuna espressa richies i Ú ta vi senso”.

Per tali ragioni – ritenute “assorbenti” – ha quindi annullato l’ordina nza-ingiunzione.

Il Garante della privacy ha impugnato la sentenza (non notificata) con ricorso per cassazione affidato a un unico motivo.

L’intimata non ha svolto difese.

Ragioni della decisione

– Con l’unico motivo il ricorrente assume violazione e falsa applicazione degli artt. 4, primo comma, lett. f), e 28 del codice privac oltre che dell’art. 2, lett. d), della Direttiva 95/46-CE, perch circostanza enfatizzata dal tribunale non esclude che la RAGIONE_SOCIALE E.M. RAGIONE_SOCIALE abbia rivestito, nelle condizioni date, il ruolo di titolare del trattamento.

Difatti, avendo avuto per l’appunto la disponibilità delle credenziali di accesso ai dati di geolocalizzazione, essa stessa era divenuta titol del trattamento di cui si discute.

II. – Il ricorso è fondato.

E’ abbastanza evidente che il tribunale di Sondrio, nel rendere la motivazione appena sopra sintetizzata, non ha compreso il problema giuridico implicato dalla controversia.

L’art. 28 del codice privacy, vigente ratione temporis, dispone che quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, “titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, iv compreso il profilo della sicurezza”.

Questa Corte, con massima consolidata, va ripetendo che a fronte della norma citata il titolare del trattamento è per l’appunto la persona giuridica che in sé abbia a disposizione i dati e possa conseguentemente gestirli (v. Cass. Sez. 2 n. 18292-20, Cass. Sez. 6-2 n. 8184-14).

RAGIONE_SOCIALE

Numero registro generale 129512021

Numero sezionale 3888,2023

Nurnero di raccolta generale NUMERO_CARTA

III. – Non poteva il tribunale escludere l’illiceità della D e 8 rs a gic g ione 21,139,2023 contestata alla E.M. sulla mera e ininfluente considerazione che il sistema di geolocalizzazione era stato alla stessa fornito dalla RAGIONE_SOCIALE M.S.

; né poteva farlo sul rilievo che sempre la RAGIONE_SOCIALE> RAGIONE_SOCIALE aveva autonomamente ideato e sviluppato le funzionalità di quel sistema per la fornitura dei propri servizi.

Ciò non possiede alcuna rilevanza onde escludere in capo alla RAGIONE_SOCIALE.RAGIONE_SOCIALE. la qualifica di soggetto titolare del trattamento dei dati.

Il punto decisivo, completamente trascurato dal tribunale, risulta di contro fina nche affermato nella stessa motivazione, ed era costituit – invece – dall’avere avuto la I E.M. l, esercente l’attività di trasporto delle merci su strada, la messa a disposizione delle credenziali accesso ai dati di geolocalizzazione dei clienti.

Questa cosa di per sé rappresenta un indice significativo del fatto di essere stata trasferita su tale società la possibilità di esercit maniera autonoma dalla fornitrice delle credenziali quel potere decisionale sulle finalità e sulle modalità del trattamento al quale allu giustappunto l’art. 28 del codice privacy. E tanto basta per fare di ess il titolare del trattamento dei dati.

IV. – La sentenza va quindi cassata.

Emergendo dalla motivazione l’esistenza di questioni assorbite, alla cassazione deve seguire il rinvio.

Il tribunale di Sondrio, designato quale giudice del rinvio in diversa composizione, rinnoverà il giudizio attenendosi al seguente principio:

ai fini dell’art. 28 del codice privacy, titolare del trattamento dati personali, in caso di persona giuridica, associazione o ente, è l’ent nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale autonomo sulle finalità e sulle modalità de trattamento, ivi compreso il profilo della sicurezza; ne consegue che, i caso di impresa esercente l’attività di trasporto di merci su strada pe conto terzi, la messa a disposizione delle credenziali di accesso ai da di geolocalizzazione dei clienti è condizione sufficiente ai fini d
RAGIONE_SOCIALE

COGNOME registro generale 12953,2021

Numero sezionale 3888,2023

Nurnero di raccolta generale NUMERO_CARTA

Data a ubblicazione 21,139,2023 attribuzione a tale impresa della qualificazione di soggetto titoiare a trattamento dei dati.

Il tribunale provvederà anche sulle spese della fase di legittimità

p.q.m.

La Corte accoglie il ricorso, cassa la sentenza impugnata e rinvia al tribunale di Sondrio anche per le spese del giudizio di cassazione.

Dispone che, in caso di diffusione della presente ordinanza, siano omesse le generalità e gli altri dati significativi.

Deciso in Roma, nella camera di consiglio della prima sezione civile, addì 14 settembre 2023.

Carmine Paul Alexander TEDESCO - Avvocato

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conerence call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.
PRENOTA
02.37901052
8:00 – 20:00 (Lun - Sab)

Articoli correlati

Costituzione in appello: sanabile il vizio formale

Indennizzo durata irragionevole: diritto dell’erede

Giudizio di rinvio: limiti e poteri del giudice

Responsabilità del preponente: la Cassazione decide
Precedente
Vaccinazione figli: inammissibile ricorso in Cassazione
Successivo
Opposizione cartella esattoriale privacy: i termini