Il Garante per la protezione dati personali, in data 29 marzo 2021, ha irrogato un’ingente sanzione nei confronti del Comune di Roma. L’amministrazione comunale ha ricevuto una multa pari a euro 410.000 per non avere protetto in maniera adeguata i dati personali dei cittadini che avevano la possibilità di accedere alle zone a traffico limitato (ZTL) del Comune.
Le violazioni dell’Amministrazione Comunale
A seguito delle varie segnalazioni che denunciavano i numerosi problemi relativi ai meccanismi di controllo dei pass ZTL, a fine 2018 il Garante ha avviato un’istruttoria per fare chiarezza sul punto. Difatti, dall’istruttoria è emerso che i permessi di accesso alle zone ZTL, esposti sulle autovetture, riportavano chiaramente alcuni dati personali degli utenti del servizio, come i codici QR (codici a barre dimensionali) che potevano essere decodificati da chiunque tramite App scaricabile da qualsiasi cittadino.
In questo modo, si poteva avere accesso a un link che indirizzata al sito contenente i permessi di accesso alle zone ZTL. Inoltre, si aveva libero accesso ai dati personali dei titolari del permesso, come nome, cognome e targa del veicolo. Il tutto, senza che fosse necessario porre in essere alcun tipo di autenticazione.
Circostanza più grave è il fatto che fossero accessibili i dati di altri assegnatari del pass attraverso una banale modifica del numero identificativo del contrassegno (PID).
Un’errata valutazione
È evidente come il Responsabile del trattamento della protezione dati personali (o DPO) designato dall’amministrazione comunale capitolina (ossia la Società dei servizi per la mobilità) non abbia valutato adeguatamente i rischi di violazione dei dati personali dei beneficiari del pass. Infatti, il sistema informativo era del tutto sprovvisto di adeguate misure tecniche ed organizzative dal momento che non limitava l’accesso ai propri dati ai soli titolari, ma lo rendeva possibile potenzialmente a chiunque.
Il Comune di Roma, in qualità di titolare del trattamento, ha completamente ignorato la normativa sulla protezione dei dati personali. Il Garante privacy, infatti, ha rilevato come l’Amministrazione Comunale non avesse fornito alla società di servizi per la mobilità delle istruzioni puntuali su come trattare correttamente i dati personali degli utenti del servizio. Tra gli altri inadempimenti dell’amministrazione comunale, poi, si annovera anche la mancata nomina a Responsabile del trattamento dati (ex art. 28 GDPR) di una seconda società fornitrice del servizio di “hosting” dei sistemi informatici utilizzati per la gestione dei permessi.
Le sanzioni del Garante
Il Garante per la protezione dati personali, alla luce di tutte le sopracitate violazioni, ha provveduto a comminare una sanzione di euro 350.000 al Comune di Roma, tenendo conto dell’elevato numero di persone interessate, del lungo lasso temporale in cui si è perpetrata la violazione e dalle numerose e gravi irregolarità riscontrate in materia di protezione dei dati personali.
L’Autorità, inoltre, ha irrogato una sanzione di euro 60.000 alla società per la mobilità, a causa dell’inadeguatezza delle misure tecniche e organizzative adottate per cercare di arginare le falle al sistema di controlli; ed infine ha imposto a entrambi gli Enti la predisposizione di ulteriori misure correttive allo scopo di limitare la consultazione dei dati personali relativi ai permessi ZTL.
Ancora una volta si rende necessario sottolineare l’importanza di un DPO competente che sappia indirizzare e consigliare in maniera adeguata e professionale.
Sul tema potrebbe interessarti – IL DPO È PER SEMPRE?