D. lgs n 196/2003 sulla geolocalizzazione dei veicoli a noleggio e la profilazione dei dati personali

Nel presente articolo l’oggetto di discussione principale verterà sull’applicazione in senso sostanziale dell’art.166 del Decreto Legislativo n.196/2003, avente ad oggetto la geolocalizzazione continua dei veicoli noleggiati e la profilazione del cliente.

Oggetto di discussione sarà l’orientamento giurisprudenziale sulla questione così come è stato espresso in data 08.11.2018 dalla Seconda Sezione Civile della Corte di Cassazione, mediante l’ordinanza n.32411.

La presente vertenza originava a seguito di una sanzione pecuniaria di euro 60.000 comminata dall’Autorità Garante per la Protezione dei Dati Personali nei confronti di una società noleggiatrice di autoveicoli elettrici a seguito di un’omessa notifica, dinnanzi all’Autorità Garante, del trattamento dei dati personali inerenti la geolocalizzazione continua dei veicoli noleggiati e della profilazione del cliente.

La società privata adiva pertanto le vie legali citando in giudizio l’autorità garante, non contestando nulla in riferimento all’omessa notifica e fondando le proprie argomentazioni in riferimento alla questione inerente la profilazione del cliente; dalle carte processuali emerge come, partendo da alcune informazioni rilasciate dal cliente, la società calcolasse la percentuale di sconto sulla tariffa prevista mediante l’utilizzo di un sistema di algoritmo.

Nel giudizio di merito i difensori della Società ritenevano che le proprie pratiche non integrassero violazione della normativa di riferimento per una serie di ragioni; in primo luogo il fatto che l’utilizzo di un software volto a far conseguire degli sconti al cliente non supponeva la memorizzazione dei dati, in secondo luogo che l’attività svolta dalla S.p.a. coinvolta non costituisse un mezzo di commercializzazione dei dati personali, in terzo luogo per il fatto che il software utilizzato da parte della società non consentisse di risalire alle informazioni dell’utente beneficiario.

Partendo da questi tre assunti la difesa della società noleggiatrice ha ritenuto che il Giudice di Merito avesse erroneamente applicato la disciplina in tema di profilazione alla fattispecie in concreto, per il fatto che le Linee Guida del Garante avessero disposto, come condizione necessaria per avere la profilazione dei dati, la categorizzazione degli utenti, arrivando ad identificare un singolo utente mediante la memorizzazione dei dati.

Stando alla valutazione operata dal Tribunale di Livorno, adito sulla questione, la tenuta condotta dalla società integrava la violazione ex art.166 del Decreto Legislativo n.196/2003 in quanto integrava i tre elementi fondamentali definenti la profilazione dei dati:

1. l’utilizzo di dati personali;
2. il trattamento con modalità automatizzata;
3. l’idoneità dei dati a fornire informazioni sulle esigenze dei clienti e quindi ad orientare i clienti sul servizio richiesto.

Il Giudice di Primo Grado ha respinto la richiesta giudiziale avanzata dalla società adducendo che la memorizzazione dei dati non sia condizione costituente fattispecie profilazione, per il fatto che l’utilizzo dell’algoritmo di dati personali comporti uno screening di informazioni fornite da soggetti privati e sia espressamente finalizzata a conseguire il soddisfacimento del fruitore del servizio.

Analizzando l’intervento degli Ermellini sulla questione occorre notare come questa ordinanza costituisca a tutti gli effetti un precedente sulla questione, per il fatto che nel presente giudicato respingono il ricorso  della società noleggiatrice argomentando in riferimento all’art.37 del Decreto Legislativo n.196/2003, secondo cui “il trattamento con modalità automatizzata di dati personali con il fine di definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, essendo evidente la personalizzazione dell’offerta di sconto non può che essere una manifestazione della profilazione del cliente”.

Un ulteriore profilo di interesse riguarda il fatto che i Giudici di Piazza Cavour confermino come il Giudizio di Merito correttamente non attribuisca rilevanza alla memorizzazione dei dati personali ed all’associazione con il singolo cliente; era stata infatti ritenuta condizione necessaria e sufficiente, perché si avesse violazione ex art. 96 del Decreto Legislativo 196/2003, il fatto che la società avesse disposto elaborazione e screening dei dati personali mediante un algoritmo ed arrivasse quindi a cogliere le esigenze dell’utente fruitore.

Da ultimo, una materia che viene poi successivamente analizzata riguarda la tematica inerente l’irrogazione della sanzione applicata in forma pecuniaria dall’Autorità Garante nei confronti della Società: nel presente caso i Giudici di Piazza Cavour, investiti da parte ricorrente della questione, hanno chiarito come il Giudice del Merito non sia tenuto a giustificare in fatto ed in diritto il perché sia stata irrogata una sanzione in una certa misura ed i relativi criteri di adozione della sanzione.

In conclusione, come possiamo considerare quest’ordinanza in materia di privacy?

Si può ritenere che questa pronuncia costituisca a tutti gli effetti un precedente importante sulla questione, per il fatto che per la prima volta la giurisprudenza arrivi a disciplinare compiutamente le responsabilità societarie in materia di violazione di dati personali.

Particolare rilievo assume, a condizione integrante tale fattispecie, l’avvenuto utilizzo da parte di una società di un algoritmo avente lo scopo di proporre uno sconto in capo al fruitore del servizio, e quindi conseguire indebitamente un profitto per l’ente erogatore.

(1 votes, average: 5,00 out of 5)
Loading...