Trattamento dati: una “lezione” a Roma Capitale

Digitale, Uncategorized0 Comments

L’Autorità Garante per il Trattamento dei Dati Personali in data 11/02/2021 ha emesso un’ordinanza di ingiunzione con la quale, rilevata l’illiceità del trattamento dei dati effettuato da Roma Capitale, ha ordinato al Comune di pagare una sanzione amministrativa di euro 350.000,00.

Il Garante per la protezione dei dati personali, a seguito di alcune segnalazioni, ha appreso che i permessi per l’accesso e la sosta nelle zone a traffico limitato di Roma Capitale, da esporre sui veicoli, riportavano sul frontespizio un “QR code” che sarebbe risultato decodificabile, oltre che
dagli operatori incaricati di verificare la validità del contrassegno e i dati identificati dell’utilizzatore autorizzato, da qualunque altro soggetto terzo mediante l’utilizzo di una generica applicazione per dispositivi mobile.

In buona sostanza ogni persona munita di uno smartphone, grazie ad applicazioni comunemente reperibili sul mercato, anche gratuitamente, sarebbe stata in grado di “leggere” il predetto QR Code e quindi di avere accesso ad una serie di informazioni inerenti il titolare del permesso tra le quali: la categoria del richiedente (es domiciliato, distributore di merci, proprietario di posto auto, etc.), la ragione o denominazione sociale o istituzionale o il nome e il cognome dello stesso.

L’attività istruttoria del Garante, ha inoltre consentito di accertare che, sempre nell’ambito della gestione dei dati, anche un terzo, ancorché in mancanza del corrispondente QR code, avrebbe potuto ottenere ogni altra informazione relativa agli utilizzatori dei pass, collegandosi all’indirizzo
web del servizio di verifica e modificando semplicemente il valore del parametro denominato PID (semplicemente incrementando o diminuendo l’identificativo numerico del permesso).

All’esito delle verifiche il Garante, pertanto, ha rilevato che i dati personali relativi ai titolari e agli utilizzatori dei permessi Z.T.L. esposti sui veicoli, sono stati resi accessibili a una platea indeterminata di soggetti terzi dando, pertanto, luogo a una “diffusione” di dati personali (cfr. art. 2- ter, comma 4, lett. b) del Codice).

È stato, inoltre, accertato che la diffusione dei predetti dati personali, a partire dal 1° dicembre 2016 (data a decorrere dalla quale è operativo, per i permessi Z.T.L, il formato cartaceo riportante un QR code e il relativo servizio online di verifica), è avvenuta in maniera non conforme ai principi di base di protezione dei dati, nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5 e 6 del Regolamento e dell’art. 2-ter del Codice.

Il Garante ha, altresì, riscontrato la violazione dell’art. 28 del Regolamento in quanto Roma Capitale ai sarebbe avvalsa dei servizi offerti da una terza società incaricata di gestire il servizio di hosting e di manutenzione di data base e connettività e quindi, di trattare “dati personali”, in assenza di un contratto o di altro atto giuridico che disciplinasse tale trattamento.
Ciò ha determinato l’accertamento di una responsabilità in capo a Roma Capitale per non aver adottato, in maniera conforme al principio di “integrità e riservatezza”, misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento.

In conclusione il Garante ha emesso due distinti provvedimenti correttivi e sanzionatori, il primo con la previsione di una sanzione pecuniaria pari a € 350.000,00 avverso il Comune di Roma e € 60.000,00 avverso la società di gestione della mobilità, previste ai sensi di cui all’Art. 83 GDPR, oltre a prevedere misure correttive tese a limitare la consultazione dei dati personali relativi ai permessi ZTL.

Il tema della privacy, spesso ancora sottovalutato da molti soggetti che dovrebbero occuparsi di tutte le attività che vanno della raccolta dei dati sino alla loro distruzione, richiederà sempre maggior attenzione affinché venga garantito un trattamento che sia effettivamente lecito, trasparente, sicuro, ovvero mantenga le informazioni riservate, integre, disponibili, e a disposizione dell’interessato.

E la Vostra azienda, a che punto è in tema privacy?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *