Al termine di un complesso processo istruttorio avviato nel 2018 il Garante per la Protezione dei Dati ha erogato nei confronti dell’ente territoriale “Roma Capitale” una sanzione del valore di mezzo milione di euro in connessione alle numerose criticità rilevate sul sistema di prenotazione digitale denominato “TuPassi”. Insieme all’ente è stato pesantemente sanzionato anche lo sviluppatore della piattaforma, cui, in aggiunta ad una sanzione da 40.000 euro, è stato ingiunto di informare tutti i propri clienti della potenziale non conformità dei trattamenti posti in essere mediante l’innovativo strumento.

IL FATTO:

Il sistema di gestione delle prenotazioni “TuPassi”, fruibile mediante diversi canali quali app mobile, sito internet e totem dedicati, è finito al centro delle attenzioni dell’Autorità di controllo durante un’ispezione del Nucleo Speciale Privacy della Guardia di Finanza svolta nel 2018 presso l’ente territoriale “Roma Capitale”, che impiegava la piattaforma sviluppata da un’azienda lombarda in tutti i Municipi del Comune di Roma.

Con un primo provvedimento prescrittivo del 7 marzo 2019 il Garante aveva individuato molteplici problematiche legate all’impiego del sistema dal punto di vista della conformità alla vigente normativa in materia di protezione dei dati personali, spesso direttamente riconducibili all’architettura della piattaforma ed alle misure di sicurezza tecniche ed organizzative implementate. In particolare, il Garante aveva rilevato:

• l’assenza di idonea informativa a utenti e dipendenti in merito ai trattamenti effettuati per mezzo della piattaforma ai sensi dell’art. 13 del GDPR;
• la particolare funzionalità di reportistica connessa alla piattaforma, in grado di operare un controllo a distanza sui dipendenti, ricadendo pertanto nell’ambito di applicazione dell’art. 4 della L. 300/1970, e
• la mancata nomina del fornitore del sistema a responsabile del trattamento in relazione alle attività di assistenza e manutenzione del sistema;
• la non adeguatezza delle misure di sicurezza adottate, con particolare riferimento all’utilizzo del protocollo http per il traffico tra i server di e i totem impiegati negli uffici dell’ente
• l’impossibilità di configurare caso per caso la tipologia dei dati ed i tempi massimi di conservazione nel sistema.

Nell’ambito del provvedimento l’Autorità aveva dunque imposto sia a “Roma Capitale”, nella sua qualità di titolare del trattamento, che a Miropass S.r.l., la società che progettato e sviluppato “TuPassi” e lo mette a disposizione dei propri clienti su base di regolare contratto di licenza, qualificato come responsabile del trattamento ai sensi dell’art. 28 del GDPR, una serie di misure correttive idonee a ripristinare il rispetto dei principi di privacy by design e by default, avvertendo i soggetti coinvolti dell’avvio di un autonomo procedimento sanzionatorio.

Il procedimento sanzionatorio si è concluso nel dicembre 2020 con l’emissione di tre distinti provvedimenti, due dei quali rivolti espressamente allo sviluppatore e fornitore del servizio di assistenza e manutenzione. In particolare, se “Roma Capitale” si è vista elevare una sanzione da 500.000 euro a causa dell’illiceità dei trattamenti posti in essere anteriormente agli accertamenti che hanno portato all’emissione del primo provvedimento, lo sviluppatore non solo è stato a sua volta destinatario di un provvedimento sanzionatorio per il valore di 40.000 euro per i trattamenti effettuati in qualità di autonomo titolare, ma si è visto indirizzare  un provvedimento di avvertimento con cui l’Autorità ha intimato di informare tutti i “soggetti pubblici e privati che attualmente utilizzano il sistema “TuPassi”” della potenziale illiceità dei trattamenti posti in essere mediante lo stesso, nonché di avviare i necessari aggiornamenti al sistema per assicurare la piena conformità dei trattamenti alla disciplina vigente in materia di protezione dei dati.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame è di particolare interesse per l’attenzione riservata dal Garante allo sviluppatore/fornitore del sistema di prenotazione “TuPassi” a causa delle rilevanti lacune e carenze progettuali della piattaforma. Il precedente è di assoluto rilievo: ove l’Autorità rilevi, anche incidentalmente, che un software, una piattaforma o una soluzione tecnologica non è in grado, per elementi insiti nella sua progettazione, di consentire al titolare del trattamento di rispettare i principi applicabili al trattamento dei dati, lo sviluppatore/produttore della stessa potrebbe essere direttamente chiamato dall’Autorità a rispondere di tali difetti e/o a porvi rimedio, a prescindere dall’utilizzo che ne faccia il licenziatario. È dunque consigliabile che questi adottino un approccio proattivo, integrando efficacemente nei propri processi i principi stabiliti verso dal GDPR e dalla vigente normativa in materia di protezione dei dati personali – ed in particolar modo quelli connessi alla privacy by design e by default –  sin dalle prime fasi di sviluppo e progettazione.