Il Garante per la protezione dei dati personali ha ordinato a Roma Capitale il pagamento di una sanzione di 500mila euro per illecito trattamento di dati personali di utenti e dipendenti, effettuato attraverso il sistema di prenotazione degli appuntamenti "TuPassi".
L’attività istruttoria
L’ordinanza con cui il Garante Privacy ingiunge al Comune di Roma il pagamento di una cospicua somma di danaro è stato il risultato di una complessa ed articolata attività istruttoria effettuata ai sensi dell’art. 58 del Regolamento UE (GDPR) e 157 e 158 del Codice, sul sistema “TuPassi”, fornito da Miropass s.r.l. (in seguito “società fornitrice”), ed utilizzato dall’Amministrazione capitolina, fin dal 2015, per finalità di prenotazione degli appuntamenti e di erogazione dei servizi di sportello.
Ed infatti, già nel marzo del 2019 l’attività di controllo, esercitata con l’ausilio del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, culminò con un provvedimento del Garante Privacy dichiarante l’illiceità dei trattamenti effettuati attraverso l’utilizzo del menzionato sistema, prescrivendo, altresì, specifiche misure correttive.
La normativa violata
Con il citato provvedimento, il Garante ha dichiarato illecito il trattamento effettuato con tale sistema per violazione degli articoli 5, 13, 14, 28 e 32 del Regolamento e articoli 13 e 29 del Codice, in relazione ai trattamenti effettuati anteriormente alle modifiche apportate allo stesso dal d.lgs. n. 101/2018.
In particolare, risulta accertato che il trattamento è stato effettuato in contrasto con i principi di liceità, correttezza e trasparenza e con gli obblighi, posti in capo al titolare del trattamento di fornire l’informativa agli utenti e ai dipendenti, di regolamentare i trattamenti di dati personali affidati alla società nell’ambito dei servizi di assistenza e manutenzione del sistema “TuPassi” e di adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.
Le criticità del caso
Attraverso tale sistema, funzionale alla prenotazione di servizi pubblici ed appuntamenti di varia natura, i server del Comune di Roma, hanno acquisito e memorizzato per lungo tempo, non solo i numerosi dati forniti dagli utenti come ad esempio il tipo di prestazione richiesta, il canale utilizzato (ad es. app mobile o sito internet), la data e ora della prenotazione, ma anche quelli relativi al personale impiegato nella gestione degli appuntamenti.
La diretta conseguenza è stata la creazione e la registrazione di veri e propri report giornalieri circa le attività lavorative dei dipendenti pubblici contenenti date, tipologie di servizi, nominativi degli addetti agli sportelli e finanche i tempi di chiamata e di attesa.
A tal proposito l’Autorità di Vigilanza ha meticolosamente indagato fino al punto di accertare la non conformità di tali trattamenti alle disposizioni del Regolamento UE in materia di protezione dei dati personali (GDPR). In particolare, la censura mossa dal Garante è rivolta alla mancata messa a disposizione di chiare informazioni circa i possibili trattamenti resi dall’applicativo, non a caso, risulta che né gli utenti né i dipendenti avessero mai ricevuto una completa informativa privacy in tal senso.
Anche la società fornitrice sotto il mirino del Garante
A ciò si aggiunga che L’Autorità ha comminato, con separato provvedimento, anche una sanzione di 40mila euro alla società fornitrice del sistema per i trattamenti effettuati in qualità di autonomo titolare, in particolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti, nei casi in cui tale attività comportasse il trattamento di dati personali di utenti e dipendenti.
Il Garante, nel comunicato presente sul proprio sito ufficiale, sottolinea infine un aspetto di grande importanza che, tuttavia, viene spesso sottovalutato dagli enti pubblici e privati e che riguarda la scelta del Data Protection Officer: “si conclude così un procedimento complesso, aggravato dalle difficoltà operative derivanti dalle scelte organizzative dell’Ente, anche sotto il profilo della corretta individuazione della figura del Responsabile della protezione dei dati, soggetta ad avvicendamenti nel corso dell’istruttoria, circostanza che ha reso meno efficace la cooperazione con il Garante”.
Gli insegnamenti desumibili dalla vicenda in esame
Alla luce del recente provvedimento del Garante, sorge spontanea la domanda: a cosa bisogna prestare attenzione se decidiamo di implementare un progetto che prevede un ingente trattamento dei dati personali? La risposta è certamente offerta dalla disciplina in materia di protezione dei dati personali. In tal senso, basti pensare all’importante contributo fornito dall’introduzione del concetto di privacy by design e privacy by default. Ed infatti, l’art. 25 del GDPR, attraverso un approccio concettuale innovativo, impone alle aziende l'obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.
In conclusione, il sistema dovrà offrire centralità alle esigenze dell’utente, in modo da obbligare il titolare del trattamento ad una tutela effettiva, non essendo sufficiente la conformità della progettazione del sistema alla norma se in concreto gli utenti non sono ben tutelati. Tutto ciò, oltre a favorire un’esponenziale crescita del business, consentirà di evitare di incorrere nelle salate sanzioni irrogate dal Garante Privacy!
Avv. Vincenzo Colarocco e Dott. Pietro Vitucci
