L’ente territoriale “Roma Capitale” torna al centro delle attenzioni del Garante per la Protezione dei Dati Personali a causa delle incredibili lacune rilevate sotto il profilo della sicurezza nell’ambito della gestione del servizio di verifica dei permessi per l’accesso e la sosta nelle zone a traffico limitato (“Z.T.L.”) di Roma. Oltre alla sanzione amministrativa da 350.000 euro nei confronti dell’ente, è stato pesantemente sanzionato anche il fornitore dei servizi inerenti al rilascio e al rinnovo dei permessi, nei confronti del quale è stata elevata una sanzione da 60.000 euro.
IL FATTO:
A decorrere dal 1° dicembre 2016 l’ente territoriale “Roma Capitale” ha adottato un nuovo tipo di contrassegno per l’accesso alle Z.T.L. in formato cartaceo, riportante un QR code contenente le informazioni identificative dell’autorizzazione ai fini di una più agevole verifica della regolarità e validità dei permessi.
La realizzazione del nuovo modello di contrassegno e il servizio di verifica on-line degli stessi era stato affidato, ad un fornitore esterno, nello specifico alla società Roma Servizi per la Mobilità S.r.l. (“Roma Servizi”), nell’ambito di un appalto di servizi avente ad oggetto più in generale l’attività inerente al rilascio ed al rinnovo dei permessi di accesso.
A seguito di vari articoli di stampa sul tema ed alle segnalazioni ricevute, il Garante ha avviato nel 2018 un’istruttoria nei confronti dell’ente e del fornitore, che ha portato all’identificazione di molteplici violazioni della vigente normativa in materia di dati personali.
In particolare, nell’ambito delle indagini dell’Autorità è emerso che con l’ausilio di un qualsiasi smartphone dotato di fotocamera e del software necessario era possibile accedere a tutte le informazioni codificate nel QR code presente sul contrassegno, quali “la categoria del richiedente (es. domiciliato, distributore di merci, proprietario di posto auto, etc.), la ragione o denominazione sociale o istituzionale (in caso di veicolo appartenente a persona giuridica) o il nome e cognome (in caso di persona fisica) del titolare del permesso, nonché il nome e cognome dell’utilizzatore dello stesso”.
Non solo, il Garante ha altresì verificato che una volta avuto accesso all’URL cui il QR code rinviava, modificando alcuni parametri era possibile avere accesso ai dati relativi ad altri permessi Z.T.L., “pur non avendo a disposizione il corrispondente QR code”.
Il servizio online di verifica dei permessi Z.T.L. risultava infatti liberamente accessibile a chiunque, non essendo protetto da alcuna procedura di autenticazione.
Le disastrose lacune identificate dal Garante nell’implementazione delle misure di sicurezza hanno determinato l’illecita diffusione dei dati personali dei titolari e utilizzatori dei contrassegni, in totale spregio del fondamentale principio di integrità e riservatezza, previsto dal Regolamento (UE) 2016/679.
Il procedimento avanti all’Autorità si è concluso nel febbraio del 2021 con l’emissione di due distinti provvedimenti sanzionatori, per un valore complessivo di 410.000 euro (350.000 nei confronti di “Roma Capitale” e 60.000 nei confronti di “Roma Servizi”).
Il Garante ha ingiunto ad entrambe le parti di provvedere entro e non oltre 30 giorni dall’emissione dei rispettivi provvedimenti all’adozione misure tecniche di sicurezza idonee a garantire la riservatezza dei dati personali dei cittadini della capitale.
PERCHÉ È IMPORTANTE:
Il provvedimento in esame presenta profili di particolare interesse in primo luogo per la leggerezza dimostrata dal titolare e dal proprio fornitore nel trattamento di dati personali, posto in essere in assenza di qualsivoglia garanzia per gli interessati e in palese violazione della vigente normativa, ed in secondo luogo per la scelta del Garante di sanzionare il responsabile del trattamento. A tal proposito si sottolinea come il provvedimento confermi l’orientamento del Garante espresso nei provvedimenti relativi al sistema di prenotazione “TuPassi” (ne abbiamo parlato qui), che vede direttamente sanzionabile il fornitore di servizi che offra soluzioni carenti sotto il profilo della tutela dei dati personali, con particolare riferimento a quelli connessi alla privacy by design e by default.