Basta commissionare una app, anche senza aver mai visto un dato, per diventare titolari del trattamento e rischiare le sanzioni privacy anche per le operazioni svolte dal fornitore. È questa la corretta interpretazione del Gdpr (regolamento UE n. 2016/679) secondo la sentenza del 5/12/2023, causa C-683/21, della Corte di giustizia dell'Ue (Cgue), che si è pronunciata sui ruoli soggettivi privacy.
Il caso al centro della vicenda si è svolto in Lituania, dove il Centro nazionale di Sanità pubblica del ministero della Sanità nel 2020, in piena pandemia Covid, in un primo momento, decide di attivare una app per il tracciamento delle persone esposte al virus. Alcuni dipendenti del Centro contattano con e-mail (senza sottoscrizione di un contratto di appalto) una società, chiedendole di creare l'app e fornendo istruzioni sul contenuto della stessa. La società lavora, fa i test informatici e mette a disposizione del pubblico la app sugli store di Apple e di Google. Si registrano 3.802 persone, che caricano dati, anche sanitari. Il Centro, poi, cambia idea, chiede di non essere nominato nella app e, infine, chiude l'operazione.
Solo che i trattamenti di dati erano già partiti e il Garante della privacy lituano, avendo riscontrato illegittimità, ha sanzionato sia il Centro sia la società, considerando quest'ultima contitolare del trattamento. Il Centro impugna la sanzione, contestando il suo coinvolgimento (vista l'assenza di un contratto) e addossando ogni colpa alla società, additandola come unica titolare del trattamento; quest'ultima ribatte di avere agito quale braccio esecutivo e, quindi, non come contitolare, ma come mero fornitore (responsabile esterno). I giudici lituani, per decidere, hanno chiesto alla Cgue di dare l'esatta interpretazione dei ruoli previsti dal Gdpr. A riguardo del titolare del trattamento, la Cgue assegna tale veste anche all'ente che commissiona a un'impresa lo sviluppo di un'applicazione informatica mobile e che, in tale contesto, partecipa alla determinazione di finalità e mezzi del trattamento: ciò anche se il committente non effettua operazioni di trattamento, non autorizza esplicitamente l'esecuzione di operazioni o la messa a disposizione del pubblico dell'app e non la acquisisce.
C'è solo un modo per tirarsi fuori: prima della messa a disposizione del pubblico, il committente deve espressamente opporsi alla diffusione e al conseguente trattamento dei dati.
Sulla questione della contitolarità, la Cgue afferma che è riscontrabile in base ai rapporti di fatto e non è necessaria una previa scrittura di accordo. Altro profilo è il collaudo informatico di un'app: i test sono già un trattamento, a meno che si usino dati fittizi o anonimi. Sulle sanzioni la sentenza attesta che esse possono essere applicate solo se l'illecito è stato commesso con dolo o colpa (esclusa la responsabilità oggettiva) e che il titolare del trattamento risponde anche per le operazioni effettuate da un responsabile esterno, salvo che quest'ultimo agisca per finalità proprie.
Articolo ripreso da Federprivacy