CURIA Questioni: la responsabilità dello sviluppatore software sub fornitore

estimated reading time: 3 min

Domanda di pronuncia pregiudiziale proposta dal Vilniaus apygardos administracinis teismas (Lituania) il 12 novembre 2021 – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos min isterijos / Valstybinė duomenų apsaugos inspekcija

(Causa C-683/21)

Lingua processuale: il lituano

Giudice del rinvio

Vilniaus apygardos administracinis teismas

Parti

Ricorrente: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos min isterijos

Convenuto: Valstybinė duomenų apsaugos inspekcija

Questioni pregiudiziali

1)    Se la nozione di «titolare del trattamento» di cui all’articolo 4, punto 7, del regolamento generale sulla protezione dei dati ¹ possa essere interpretata nel senso che deve essere considerato quale Titolare del Trattamento anche colui che intenda acquistare uno strumento di raccolta di dati (applicazione mobile) mediante appalto pubblico, indipendentemente dal fatto che non sia stato concluso un contratto di appalto pubblico e che il prodotto creato (applicazione mobile), per l’acquisto del quale è stata utilizzata una procedura di appalto pubblico, non sia stato trasferito.

2)    Se la nozione di «titolare del trattamento» di cui all’articolo 4, punto 7, del regolamento generale sulla protezione dei dati possa essere interpretata nel senso che deve essere considerata quale Titolare del Trattamento anche un’amministrazione aggiudicatrice che non ha acquistato il diritto di proprietà sul prodotto informatico creato e che non ne è venuta in possesso, qualora la versione definitiva dell’applicazione creata fornisca link o interfacce a tale ente pubblico e/o l’informativa sulla riservatezza, che non è stata ufficialmente approvata o riconosciuta dall’ente pubblico in questione, indichi quale Titolare del Trattamento tale medesimo ente pubblico.

3)    Se la nozione di «titolare del trattamento» di cui all’articolo 4, punto 7, del regolamento generale sulla protezione dei dati possa essere interpretata nel senso che deve essere considerato quale Titolare del Trattamento anche colui che non ha effettivamente compiuto alcuna operazione di Trattamento di dati, come definita all’articolo 4, punto 2, di tale regolamento, e/o che non ha dato un’autorizzazione o un Consenso chiari al compimento di tali operazioni. Se il fatto che il prodotto informatico utilizzato per il Trattamento dei Dati personali sia stato creato conformemente all’incarico redatto dall’amministrazione aggiudicatrice sia rilevante per l’interpretazione della nozione di «titolare del trattamento».

4)    Qualora la determinazione delle effettive operazioni di Trattamento dei dati sia rilevante per l’interpretazione della nozione di «titolare del trattamento», se la definizione di «trattamento» dei Dati personali ai sensi dell’articolo 4, punto 2, del regolamento generale sulla protezione dei dati debba essere interpretata nel senso che ricomprende anche situazioni nelle quali sono state utilizzate copie di Dati personali per testare i sistemi informatici nel corso del processo di acquisto di un’applicazione mobile.

5)    Se la contitolarità del Trattamento dei dati ai sensi dell’articolo 4, paragrafo 7, e dell’articolo 26, paragrafo 1, del regolamento generale sulla protezione dei dati possa essere interpretata esclusivamente nel senso che implica azioni deliberatamente coordinate per quanto riguarda la determinazione della finalità e dei mezzi del trattamento dei dati, o se tale nozione possa essere interpretata anche nel senso che la contitolarità ricomprende anche situazioni in cui non vi è un chiaro «accordo» sulle finalità e i mezzi del Trattamento dei dati e/o non vi è coordinamento fra le azioni dei soggetti. Se, ai fini dell’interpretazione della nozione di contitolarità del Trattamento dei dati personali, siano giuridicamente rilevanti le circostanze relative alla fase della creazione dei mezzi per il Trattamento dei Dati personali (applicazione informatica) nella quale sono stati trattati i Dati personali e alle finalità della creazione dell’applicazione. Se un «accordo» tra i contitolari possa essere inteso esclusivamente come una fissazione chiara e definita delle condizioni che disciplinano la contitolarità del Trattamento dei dati.

6)    Se la disposizione di cui all’articolo 83, paragrafo 1, del regolamento generale sulla protezione dei dati secondo cui «le sanzioni amministrative pecuniarie [devono essere] effettive, proporzionate e dissuasive», debba essere interpretata nel senso che ricomprende anche i casi in cui il «titolare del trattamento» viene ritenuto Responsabile quando, nel processo di creazione di un prodotto informatico, anche lo sviluppatore effettua azioni di Trattamento dei dati personali, e se le azioni di Trattamento dei Dati personali improprie eseguite dal Responsabile del Trattamento comportino sempre e automaticamente una responsabilità giuridica in capo al Titolare del trattamento. Se tale disposizione debba essere interpretata nel senso che ricomprende anche i casi di responsabilità oggettiva del Titolare del trattamento.

____________

¹Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).