Con ordinanza n. 35256, pubblicata il 18 dicembre 2023, la Corte di cassazione ha rigettato il ricorso promosso dalla società di gestione del servizio di parcometri, confermando la decisione assunta dal Tribunale di Roma, con la quale era stato rigettato il ricorso promosso dalla società avverso l’ordinanza ingiunzione n. 292 del 22 luglio 2021, emessa dal Garante per la protezione dei dati personali.
La s.r.l. gestore del servizio parcometri utilizzava, al fine dell’espletamento del servizio per conto di altra società (responsabile del trattamento), la quale aveva, a sua volta, ricevuto mandato dal Comune di Roma (titolare del trattamento), un particolare tipo di parcometri che richiedevano all’utente l’inserimento del numero di targa del veicolo al fine di sostare nel parcheggio.
Nella specie, la Corte di cassazione ha ribadito che le targhe automobilistiche, in quanto riferite a un soggetto identificato o identificabile, costituiscono dato personale ai fini della normativa in materia di privacy, consentendo la profilazione delle abitudini e degli spostamenti degli utenti attraverso la raccolta dei numeri di targa. Con la conseguenza che la ricorrente, attraverso la particolare tipologia dei parcometri che richiedeva l’immissione del numero di targa dei veicoli, ha trattato i dati personali degli utenti e, non avendo ricevuto formale investitura nel ruolo di sub-responsabile del trattamento del dato ex art. 28 GDPR, ha operato contra legem. Infatti, in assenza dei requisiti di interesse pubblico che insistono in capo al titolare del trattamento, la nomina a sub-responsabile è un requisito indispensabile per la legittimità del trattamento dei dati per conto del responsabile. Sul punto, la Corte di cassazione ha altresì precisato che l’esistenza di obblighi contrattuali di natura privatistica in forza del contratto di fornitura tra la società gestore del servizio e la committente responsabile del trattamento non potevano sopperire alla formale nomina di sub-responsabile, né la successiva formalizzazione della nomina poteva essere idonea a sanare i trattamenti dei dati personali avvenuti in precedenza.
In tale contesto, la s.r.l. gestore del servizio ha violato l’art. 30 del Regolamento UE 2016/679 per non aver predisposto il registro delle attività di trattamento. Secondo la Corte di cassazione, infatti, la società gestore del servizio avrebbe dovuto dotarsi del registro delle attività di trattamento, quale strumento indispensabile per valutare la conformità delle attività di trattamento alla disciplina in materia di protezione dei dati personali.