“Roma Capitale” regional authority is once again targeted by the Italian Data Protection Authority due to the incredible shortcomings in terms of security detectection on service management regarding the verification of permits to access and park in Rome’s restricted traffic zones. In addition to an EURO 350,000 fine imposed to the institutional entity, the service provider concerning permits issuance and renewal was heavily sanctioned too, with a separate fine amounting to EURO 60,000.

IL FATTO:

A decorrere dal 1° dicembre 2016 l’ente territoriale “Roma Capitale” ha adottato un nuovo tipo di contrassegno per l’accesso alle Z.T.L. in formato cartaceo, riportante un QR code contenente le informazioni identificative dell’autorizzazione ai fini di una più agevole verifica della regolarità e validità dei permessi.

La realizzazione del nuovo modello di contrassegno e il servizio di verifica on-line degli stessi era stato affidato, ad un fornitore esterno, nello specifico alla società Roma Servizi per la Mobilità S.r.l. (“Roma Servizi”), nell’ambito di un appalto di servizi avente ad oggetto più in generale l’attività inerente al rilascio ed al rinnovo dei permessi di accesso.

A seguito di vari articoli di stampa sul tema ed alle segnalazioni ricevute, il Garante ha avviato nel 2018 un’istruttoria nei confronti dell’ente e del fornitore, che ha portato all’identificazione di molteplici violazioni della vigente normativa in materia di dati personali.

In particolare, nell’ambito delle indagini dell’Autorità è emerso che con l’ausilio di un qualsiasi smartphone dotato di fotocamera e del software necessario era possibile accedere a tutte le informazioni codificate nel QR code presente sul contrassegno, quali “la categoria del richiedente (es. domiciliato, distributore di merci, proprietario di posto auto, etc.), la ragione o denominazione sociale o istituzionale (in caso di veicolo appartenente a persona giuridica) o il nome e cognome (in caso di persona fisica) del titolare del permesso, nonché il nome e cognome dell’utilizzatore dello stesso”.

Non solo, il Garante ha altresì verificato che una volta avuto accesso all’URL cui il QR code rinviava, modificando alcuni parametri era possibile avere accesso ai dati relativi ad altri permessi Z.T.L., “pur non avendo a disposizione il corrispondente QR code”.

Il servizio online di verifica dei permessi Z.T.L. risultava infatti liberamente accessibile a chiunque, non essendo protetto da alcuna procedura di autenticazione.

Le disastrose lacune identificate dal Garante nell’implementazione delle misure di sicurezza hanno determinato l’illecita diffusione dei dati personali dei titolari e utilizzatori dei contrassegni, in totale spregio del fondamentale principio di integrità e riservatezza, previsto dal Regolamento (UE) 2016/679.

Il procedimento avanti all’Autorità si è concluso nel febbraio del 2021 con l’emissione di due distinti provvedimenti sanzionatori, per un valore complessivo di 410.000 euro (350.000 nei confronti di “Roma Capitale” e 60.000 nei confronti di “Roma Servizi”).

Il Garante ha ingiunto ad entrambe le parti di provvedere entro e non oltre 30 giorni dall’emissione dei rispettivi provvedimenti all’adozione misure tecniche di sicurezza idonee a garantire la riservatezza dei dati personali dei cittadini della capitale.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame presenta profili di particolare interesse in primo luogo per la leggerezza dimostrata dal titolare e dal proprio fornitore nel trattamento di dati personali, posto in essere in assenza di qualsivoglia garanzia per gli interessati e in palese violazione della vigente normativa, ed in secondo luogo per la scelta del Garante di sanzionare il responsabile del trattamento. A tal proposito si sottolinea come il provvedimento confermi l’orientamento del Garante espresso nei provvedimenti relativi al sistema di prenotazione “TuPassi” (ne abbiamo parlato qui), che vede direttamente sanzionabile il fornitore di servizi che offra soluzioni carenti sotto il profilo della tutela dei dati personali, con particolare riferimento a quelli connessi alla privacy by design e by default.