giovedì, Marzo 28, 2024
Uncategorized

Il Garante Privacy contro il Comune di Roma Capitale per violazione del GDPR

Introduzione

Una nuova vicenda affrontata dal Garante Privacy ha ad oggetto il trattamento illecito dei dati degli utenti che utilizzavano il sistema di prenotazione degli appuntamenti “TuPassi”. Di fatto gli utenti non avevano mai ricevuto alcuna informativa privacy così come previsto dal Reg. UE 2016/679.[1] La vicenda è stata monitorata dal Garante nell’arco dell’anno 2019, ma al termine dell’istruttoria le criticità persistevano ancora fino alla conclusione dell’attività ispettiva e istruttoria che ha portato all’irrogazione della sanzione.

La vicenda

Con il provvedimento n. 280 del 17 dicembre 2020 l’Autorità Garante per la protezione dei dati personali ha emesso, al termine di una lunga e approfondita attività ispettiva ed istruttoria, derivante da controlli effettuati, un’ ordinanza di ingiunzione, nei confronti di Roma Capitale, per illecito trattamento dei dati personali degli utenti e dei dipendenti attraverso il sistema di prenotazione degli appuntamenti denominato “TuPassi”. L’attività ispettiva è stata condotta in collaborazione con il Nucleo speciale di tutela privacy e frodi tecnologiche della Guardia di Finanza. Attività che aveva già portato lo scorso anno all’adozione di un provvedimento con il quale erano stati dichiarati “illeciti i trattamenti effettuati da Roma Capitale tramite “TuPassi e prescritto talune misure correttive”.[2] Le numerose criticità emerse riguardavano sia la prenotazione dei servizi di sportello che la prenotazione di appuntamenti-anche del settore sanitario-utilizzando l’app, il sito internet o i totem installati presso gli uffici della pubblica amministrazione. La funzionalità di tale servizio era costituito da un “sistema di prenotazione interattivo con funzionalità ‘elimina code’ che consente agli utenti di prenotare servizi di sportello o fissare appuntamenti presso soggetti pubblici e privati utilizzando diversi canali”.[3] Di fatto il trattamento dei dati effettuato dalla “TuPassi” ha riguardato un numero elevato di dati personali, anche di dati strettamente personali quali i dati sanitari. Questa modalità consentiva la memorizzazione sui server di Roma Capitale, anche per un arco temporale lungo, dei dati degli utenti inerenti le prenotazioni delle diverse prestazioni, dato che “l’applicativo, inoltre, consente, agli enti pubblici e privati che lo utilizzano, di trattare anche dati riferiti al personale interno che gestisce le varie richieste dell’utenza […] e di estrarre una reportistica contenente dati relativi alla gestione dei diversi servizi erogati”.[4] Uno degli elementi che ha aumentato il grado di illiceità era rappresentato dai report quotidiani “contenenti anche informazioni di dettaglio sull’attività lavorativa (data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa)”.[5] Anche il successivo intervento dell’Ente con un incremento delle misure tecniche e organizzative sono state ritenute inadeguate dal Garante Privacy. Altro elemento, che ha composto i tasselli dell’attività ispettiva e di indagine del Garante è stata l’assenza di un atto che disciplinasse “il rapporto con la società fornitrice del sistema di prenotazione”.[6]

Il piano giuridico

Sul piano giuridico il Garante ha accertato che il trattamento dei dati è stato effettuato in violazione dell’art. 5 par. 1 lett. a) ovvero contro i principi di liceità, correttezza e trasparenza, ma anche in violazione dell’art. 13 cioè l’obbligo per il titolare del trattamento di fornire l’informativa all’interessato. È stato violato l’art. 28 par. 2-3 Reg. UE 2016/679 che disciplina l’obbligo per il titolare del trattamento di regolamentare i trattamenti di dati, con un apposito atto, nel caso in cui questi siano ‘affidati’ ad una società come avvenuto nel caso del sistema “TuPassi”.[7] Il Garante ha anche rilevato con la sua attività ispettiva che non sono state rispettate le necessarie e fondamentali misure tecniche e organizzative per la garanzia di un adeguato livello di sicurezza e ha obbligato a fornire, entro il termine di 90 giorni, “un riscontro adeguatamente documentato”.[8]

Le disposizioni violate del Reg. UE 2016/679

L’irrogazione della sanzione da parte del Garante deriva dalla rilevata illiceità del trattamento effettuato da Roma Capitale per violazione degli articoli 5, 13, 14, 28, 32 Reg. UE 2016/679. L’articolo 5 è rubricato “Principi applicabili al trattamento di dati personali” inerente i principi di liceità, correttezza e trasparenza del trattamento. L’art. 5 par. 1 lett. b) GDPR “sancisce il principio di finalità nel trattamento dei dati, imponendo che essi siano raccolti per scopi determinati, espliciti, legittimi e successivamente trattati in modo non incompatibili con questi”.[9] Inoltre l’art. 5 impone che i dati siano “adeguati, pertinenti e limitati a quanto necessario alle finalità per le quali sono trattati”.[10] Il par. 2 dell’art. 5 GDPR prevede che il titolare del trattamento è tenuto a rispettare “i principi generali del trattamento sanciti dal paragrafo precedente e che sia in grado di comprovarlo”.[11] Inoltre, tutte le operazioni erano effettuate senza che né gli utenti né i dipendenti avessero ricevuto, come richiesto dal Regolamento Ue, un’informativa completa sui trattamenti resi possibili dall’applicativo, comportando la violazione delle disposizioni degli artt. 13 e 14 GDPR.

In particolare, l’art. 13 GDPR prevede che sia obbligo del titolare del trattamento fornire l’informativa al soggetto interessato.[12] In capo al titolare del trattamento grava “l’onore probatorio di dimostrare d avere fornito l’informativa, in conformità ai principi generali dettati dal RPDP”.[13] L’applicazione di tale disposizione ricomprende il caso in cui è il soggetto interessato a fornire i propri dati al titolare, come si evince dalla vicenda che si sta trattando, ma anche il caso in cui il titolare del trattamento raccoglie i dati del soggetto interessato attraverso il monitoraggio come attraverso l’uso di software di raccolta dei dati. Infatti “Tra le criticità individuate da Garante il fatto che il sistema consentisse di acquisire e memorizzare sui server di Roma Capitale, per un lungo periodo di tempo, “numerosi dati degli utenti relativi alle prenotazioni (tipo di prestazione, canale utilizzato, data e ora della prenotazione) e del personale impiegato nella gestione degli appuntamenti”.[14] È fondamentale che l’informativa venga resa nota all’interessato prima dell’inserimento dei propri dati personali.

Un’altra disposizione che il Garante Privacy ha ritenuto essere stata violata è l’art. 28 GDPR rubricato “Responsabile del trattamento”[15] poiché il trattamento è stato effettuato in contrasto “con l’obbligo di regolamentare, con un atto avente le caratteristiche di cui all’art. 28 par. 2 e 3 del Regolamento (già art.29 del Codice, anteriormente alle modifiche di cui al D.Lgs. 101/2018), i trattamenti di dati personali affidati, per conto del titolare, alla Società nell’ambito dei servizi di assistenza e manutenzione del sisttema “TuPassi”.[16]

Infine, un’altra disposizione violata riguarda l’art. 32 Reg. UE 2016/679 rubricato “sicurezza del trattamento” ove è previsto che spetti al titolare del trattamento e al responsabile del trattamento mettere in atto misure tecniche e organizzative adeguate ad un elevato livello di sicurezza tra cui la pseudonomizzazione, la cifratura dei dati personali, la capacità di garantire riservatezza e integrità, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico. È fondamentale che nella valutazione del livello di sicurezza si tenga conto dei rischi presentati dal trattamento che derivano o possono derivare “dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.[17]

La sanzione

Nel momento in cui l’Autorità Garante è chiamata ad irrogare una sanzione deve tenere conto di una serie di elementi che identificano la violazione e il suo livello di gravità individuati proprio nell’art. 83 Reg. UE 2016/679”.[18] Per questi motivi al termine dell’attività ispettiva e di indagine l’Autorità Garante per la protezione dei dati personali ha ritenuto di dover comminare una sanzione[19] pari a € 500.000,00 nei confronti di Roma Capitale in persona del rappresentante pro tempore ai sensi e agli effetti dell’art. 58 par. 2 lett. i) Reg. UE 2016/679[20] e dell’art. 83 par .5 Reg. Ue 2016/679[21] e dell’art. 166 comma 2 Cod. Privacy (post riforma del 2018).[22]

L’art. 83 GDPR è rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie” e al paragrafo 2 prevede che “le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’art. 58 paragrafo 2 lettere da a) a h) e j), o in luogo di tali misure”. Nel momento in cui l’Autorità garante è chiamata a decidere in merito all’irrogazione di una sanzione deve tener conto di una serie di elementi quali: natura, gravità, durata della violazione, carattere doloso o colposo, le misure adottate dal titolare del trattamento o dal responsabile del trattamento, il grado di responsabilità del titolare del trattamento o del responsabile, le categorie di dati interessati dalla violazione, eventuali aggravanti.[23] La sanzione è stata comminata ai sensi dell’art. 83 par. 5 Reg. UE 2016/679 e dell’art. 166 comma 2 Cod. Privacy (post riforma del 2018).

Conclusioni

La vicenda aveva già visto, nel 2019, l’intervento del Garante e ciò aveva portato all’emissione del provvedimento n. 81 del 7 marzo 2019 nei confronti di Roma Capitale, tramutatosi poi nel nuovo recente provvedimento di irrogazione della sanzione amministrativa pecuniaria. Le criticità che il Garante aveva già riscontrato nel 2019 riguardavano gli addetti allo sportello “il sistema registrava e generava – senza potere escludere tale funzione – report giornalieri contenenti informazioni di dettaglio concernenti anche l’attività lavorativa (data, tipo di servizio, numero complessivo degli appuntamenti lavorati, nome e il cognome dell’addetto allo sportello, numero della postazione assegnatagli in un dato giorno, data e orario dell’appuntamento, tempo di chiamata e tempo di attesa, anche calcolato in secondi”.[24] Quindi si può affermare che a fronte di quanto emerso dalle operazioni di indagine del Garante Privacy, il Comune di Roma Capitale, nonostante, un suo successivo intervento per implementare le misure tecniche e organizzative, queste ultime sono state considerate inadeguate dall’Autorità Garante. La sanzione è stata comminata al Comune, ma la vicenda ha visto anche l’irrogazione di una sanzione pari a € 40.000,00 alla società che fornisce il sistema con il Provvedimento del Garante n. 281/2021 “per i trattamenti effettuati in qualità di autonomo titolare, in particolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti, nei casi in cui tale attività comportasse il trattamento di dati personali di utenti e dipendenti”.[25]

[1] M Raimondi, L’informativa privacy: cos’è e quali sono gli errori da evitare?, Ius in Itinere, 12/08/2018, qui disponibile: https://www.iusinitinere.it/informativa-privacy-cos-e-quali-errori-da-evitare-12085

[2] Garante Privacy, Roma Capitale: sanzione del Garante privacy per “TuPassi”. Cittadini e dipendenti ignari su come venivano usati i loro dati, in Newsletter n. 472, 25 gennaio 2021, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9525359#1

[3] Garante Privacy, Ordinanza ingiunzione nei confronti di Miropass S.r.l, 17 dicembre 2020, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9525315

[4] Garante privacy, qui disponibile:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9525315

[5] Garante Privacy ibidem

[6] AGI Redazione, Il Comune di Roma multato dal garante della privacy per il servizio TuPassi, 25 gennaio 2021, Qui disponibile:

[7] Sistema adottato nel 2015 come riporta il Garante Privacy

[8] Garante Privacy, Roma Capitale: sanzione del Garante privacy per “TuPassi”. Cittadini e dipendenti ignari su come venivano usati i loro dati, in Newsletter n. 472, 25 gennaio 2021, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9525359#1

[9] F. Resta, commento sub art. 5 Reg. UE 2016/679, in GDPR e normativa privacy Commentario, a cura di G.M. Riccio, g. Scorza, E. Belisario, IPSOA Wolters Kluwer, 2018, p. 56.

[10] F.Resta, ibidem

[11] F. Resta, ibidem

[12] Questa attività può anche essere delegata dal titolare al responsabile del trattamento.

[13] P. Todaro, commento sub art .5 Reg UE, in GDPR e normativa privacy Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, IPSOA Wolters Kluwer, 2018

[14] A.S. per Corriere Comunicazioni, Il sistema di prenotazione degli appuntamenti comporta un “illecito trattamento di dati personali di utenti e dipendenti”. Secondo l’Authority, inoltre, il cambiamento in corsa del responsabile capitolino della protezione dei dati ha “reso meno efficace la cooperazione” con l’amministrazione, 25 gennaio 2021, qu disponibile: https://www.corrierecomunicazioni.it/privacy/il-garante-privacy-boccia-tupassi-multa-da-500mila-euro-per-il-comune-di-roma/

[15] La definizione è fornita dall’art. 4 n. 8 GDPR dove Il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare del trattamento”.

[16] Garante Privacy, si veda nota n. 6

[17] Art. 32 Reg. UE 2016/679, qui disponibile: https://www.altalex.com/documents/news/2018/04/12/articolo-32-gdpr-sicurezza-del-trattamento

[18] Garante Privacy, Roma Capitale: sanzione del Garante privacy per “TuPassi”. Cittadini e dipendenti ignari su come venivano usati i loro dati, in Newsletter n. 472, 25 gennaio 2021, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9525359#1

[19]

[20] Art. 58 par. 2 lett. i) Reg. UE 2016/679: “infliggere una sanzione amministrativa pecuniaria si sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso”.

[21] Art. 83 par. 5 Reg. UE 2016/679: “In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

  1. a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9”

[22] Art. 166 Cod. Privacy(post riforma del 2018): “Sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del Regolamento le violazioni delle disposizioni di cui agli articoli 2-ter, 2-quinquies, comma 1, 2-sexies, 2-septies, comma 8, 2-octies, 2-terdecies, commi 1, 2, 3 e 4, 52, commi 4 e 5, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, 96, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, 111, 111-bis, 116, comma 1, 120, comma 2, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, 157, nonche’ delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.

[23] Art.83 Reg. UE 2016/679, qui disponibile: https://www.altalex.com/documents/news/2018/04/12/articolo-83-gdpr-condizioni-generali-per-infliggere-sanzioni-amministrative-pecuniarie

[24] Garante Privacy, Provvedimento del 17 dicembre 2020 n. 282, 17 dicembre 2020, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9525337

[25] Garante Privacy, Roma Capitale: sanzione del Garante privacy per “TuPassi” Cittadini e dipendenti ignari su come venivano usati i loro dati, Qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9525359#:~:text=Il%20Garante%20per%20la%20protezione,prenotazione%20degli%20appuntamenti%20%22TuPassi%22.

Giulia Cavallari

Nata a Bologna nel 1992. Dopo aver conseguito la maturità classica prosegue gli studi presso l'Università di Bologna iscrivendosi alla Facoltà di Giurisprudenza. Laureata con una tesi in Diritto di Internet dal titolo "Il Regolamento generale sulla protezione dei dati e il consenso dei minori al trattamento dei dati personali" sotto la guida della Professoressa Finocchiaro. Nel novembre 2017 ha relazionato all'Internet Governance Forum- IGF Youth. E' in questo periodo che si avvicina e appassiona al diritto di internet e all'informatica giuridica sentendo la necessità di approfondire gli studi in materia.  Gli interessi principali spaziano dalla protezione dei dati personali alla cybersecurity e all'ambito delle nuove tecnologie al ruolo che il diritto di internet ha assunto e assumerà nei prossimi anni.

Lascia un commento