At the end of a complex preliminary process initiated back in 2018, the Italian Data Protection Authority has levied a sanction worth half a million euros against the territorial entity “Roma Capitale” in connection with the several critical issues detected on the digital booking system called “TuPassi”. Together with the authority, the developer of the platform was also heavily sanctioned. In addition to a fine of 40,000 euros, the developer was ordered to inform all its customers of the potential non-compliance of the processing operations carried out using the innovative tool.

IL FATTO:

Il sistema di gestione delle prenotazioni “TuPassi”, fruibile mediante diversi canali quali app mobile, sito internet e totem dedicati, è finito al centro delle attenzioni dell’Autorità di controllo durante un’ispezione del Nucleo Speciale Privacy della Guardia di Finanza svolta nel 2018 presso l’ente territoriale “Roma Capitale”, che impiegava la piattaforma sviluppata da un’azienda lombarda in tutti i Municipi del Comune di Roma.

Con un primo provvedimento prescrittivo del 7 marzo 2019 il Garante aveva individuato molteplici problematiche legate all’impiego del sistema dal punto di vista della conformità alla vigente normativa in materia di protezione dei dati personali, spesso direttamente riconducibili all’architettura della piattaforma ed alle misure di sicurezza tecniche ed organizzative implementate. In particolare, il Garante aveva rilevato:

• l’assenza di idonea informativa a utenti e dipendenti in merito ai trattamenti effettuati per mezzo della piattaforma ai sensi dell’art. 13 del GDPR;
• la particolare funzionalità di reportistica connessa alla piattaforma, in grado di operare un controllo a distanza sui dipendenti, ricadendo pertanto nell’ambito di applicazione dell’art. 4 della L. 300/1970, e
• la mancata nomina del fornitore del sistema a responsabile del trattamento in relazione alle attività di assistenza e manutenzione del sistema;
• la non adeguatezza delle misure di sicurezza adottate, con particolare riferimento all’utilizzo del protocollo http per il traffico tra i server di e i totem impiegati negli uffici dell’ente
• l’impossibilità di configurare caso per caso la tipologia dei dati ed i tempi massimi di conservazione nel sistema.

Nell’ambito del provvedimento l’Autorità aveva dunque imposto sia a “Roma Capitale”, nella sua qualità di titolare del trattamento, che a Miropass S.r.l., la società che progettato e sviluppato “TuPassi” e lo mette a disposizione dei propri clienti su base di regolare contratto di licenza, qualificato come responsabile del trattamento ai sensi dell’art. 28 del GDPR, una serie di misure correttive idonee a ripristinare il rispetto dei principi di privacy by design e by default, avvertendo i soggetti coinvolti dell’avvio di un autonomo procedimento sanzionatorio.

Il procedimento sanzionatorio si è concluso nel dicembre 2020 con l’emissione di tre distinti provvedimenti, due dei quali rivolti espressamente allo sviluppatore e fornitore del servizio di assistenza e manutenzione. In particolare, se “Roma Capitale” si è vista elevare una sanzione da 500.000 euro a causa dell’illiceità dei trattamenti posti in essere anteriormente agli accertamenti che hanno portato all’emissione del primo provvedimento, lo sviluppatore non solo è stato a sua volta destinatario di un provvedimento sanzionatorio per il valore di 40.000 euro per i trattamenti effettuati in qualità di autonomo titolare, ma si è visto indirizzare  un provvedimento di avvertimento con cui l’Autorità ha intimato di informare tutti i “soggetti pubblici e privati che attualmente utilizzano il sistema “TuPassi”” della potenziale illiceità dei trattamenti posti in essere mediante lo stesso, nonché di avviare i necessari aggiornamenti al sistema per assicurare la piena conformità dei trattamenti alla disciplina vigente in materia di protezione dei dati.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame è di particolare interesse per l’attenzione riservata dal Garante allo sviluppatore/fornitore del sistema di prenotazione “TuPassi” a causa delle rilevanti lacune e carenze progettuali della piattaforma. Il precedente è di assoluto rilievo: ove l’Autorità rilevi, anche incidentalmente, che un software, una piattaforma o una soluzione tecnologica non è in grado, per elementi insiti nella sua progettazione, di consentire al titolare del trattamento di rispettare i principi applicabili al trattamento dei dati, lo sviluppatore/produttore della stessa potrebbe essere direttamente chiamato dall’Autorità a rispondere di tali difetti e/o a porvi rimedio, a prescindere dall’utilizzo che ne faccia il licenziatario. È dunque consigliabile che questi adottino un approccio proattivo, integrando efficacemente nei propri processi i principi stabiliti verso dal GDPR e dalla vigente normativa in materia di protezione dei dati personali – ed in particolar modo quelli connessi alla privacy by design e by default –  sin dalle prime fasi di sviluppo e progettazione.