Il Comune di Roma e la società dei Servizi per la mobilità hanno ricevuto un'altra multa dal Garante per la Privacy per non aver adeguatamente protetto i dati dei cittadini che hanno ottenuto il pass di ingresso nelle Ztl.
Le sanzioni, per un importo complessivo di 410mila euro, sono arrivate alla fine dell’istruttoria partita in seguito a una segnalazione e ad alcuni articoli di stampa sui problemi relativi al controllo dei permessi Ztl. Dai riscontri raccolti dall’Autorità – fa sapere il Garante – è emerso che i permessi di accesso esposti sulle vetture presentavano un codice a barre bidimensionale (Qr code) che permetteva agli addetti di verificare in tempo reale la validità del contrassegno e a chi era stato assegnato. Codice che, però, poteva essere letto con una semplice app installata su gran parte degli smartphone in commercio.
Chiunque poteva quindi accedere al nominativo del titolare del permesso (ad esempio il nome dell’azienda, dell’istituzione, della scuola specifica o della persona fisica), al nominativo del suo utilizzatore e alla categoria del richiedente, nonché alla targa del veicolo. Durante le verifiche del Garante è stata riscontrata un’ulteriore criticità nella gestione dei dati: chiunque, dopo essersi collegato, con il Qr code, alla pagina web con i dati del permesso esaminato, poteva ottenere anche le informazioni relative agli assegnatari di altri pass semplicemente modificando il numero identificativo del contrassegno (Pid).
Le colpe del Comune, e quelle di Roma servizi per la mobilità
Diverse le responsabilità del Comune e della società per l’illecita diffusione dei dati personali dei possessori dei pass. Roma servizi per la mobilità – designata responsabile del trattamento dei dati da Roma Capitale – non aveva valutato correttamente i rischi e aveva progettato e realizzato un sistema informativo inadeguato, che non limitava l’accesso ai dati alle sole persone autorizzate. Anche il Comune – titolare del trattamento dei dati relativi ai pass – non aveva adottato misure tecniche e organizzative adatte ad assicurare un livello di sicurezza adeguato agli specifici rischi del trattamento. Roma Capitale, tra l’altro, non aveva fornito alla società di servizi per la mobilità istruzioni specifiche per trattare correttamente i dati personali degli utenti del servizio (titolari dei permessi Ztl e utilizzatori), impedendo l’accesso da parte di terzi non autorizzati. Il Comune non aveva neppure proceduto a designare responsabile del trattamento un’ulteriore società che forniva il servizio di “hosting” dei sistemi informatici utilizzati per la gestione dei permessi. Il Garante per la protezione dei dati personali ha dunque adottato due distinti provvedimenti correttivi e sanzionatori. A Roma Capitale ha applicato una sanzione di 350.000 euro, calcolata tenendo conto dell’alto numero di persone interessate, dell’esteso lasso temporale della violazione, nonché delle precedenti violazioni in materia di privacy già commesse dall’ente locale. Alla società per la mobilità, in considerazione delle prime misure tecniche e organizzative già adottate per limitare il problema, è stata invece irrogata una sanzione di 60.000 euro. A entrambi i soggetti sono state inoltre imposte misure correttive per limitare la consultazione dei dati personali relativi ai permessi Ztl.
Commenti