Parcometro: sanzione per mancata tutela dei dati degli automobilisti

Il Garante per la Privacy ha sanzionato Roma Capitale ed Atac per mancata tutela dei dati degli automobilisti acquisiti attraverso il parcometro

parcometro

La decisione pubblicata sul sito del Garante

A seguito di un’istruttoria avviata dopo una segnalazione di un utente pervenuta in seguito all’installazione di parcometri nel 2018 il Garante per la protezione dei dati personali ha sanzionato per una somma complessiva di oltre 1 milione di euro Roma Capitale, la società di servizi Atac Spa e un subfornitore.
La sanzione è stata comminata per non aver tutelato i dati degli automobilisti che parcheggiano nel territorio comunale.
Sul sito del Garante si legge infatti che la società Atac Spa, incaricata dal Comune anche per la gestione dei parcheggi, aveva infatti avviato un aggiornamento tecnologico dei parcometri per offrire nuovi servizi (ad esempio il pagamento di sanzione/tributi o l’acquisto/rinnovo dei titoli del trasporto pubblico) e per introdurre nuove modalità di pagamento, inserendo anche il numero di targa del veicolo.
Un sistema generalizzato gestiva le informazioni relative alla sosta al quale poteva accedere, tramite un’apposita app, anche il personale incaricato di controllare il pagamento dei parcheggi.

Irregolarità emerse

Le irregolarità emerse consistono:

    1. per quanto riguarda il Comune di Roma
  • nella mancata informazione sul trattamento dei dati degli automobilisti
  • nel non aver nominato la Società Atac spa quale responsabile del trattamento
  • per non aver fornito a quest’ultima le necessarie istruzioni su come trattare i dati raccolti

2. per quanto riguarda le Società

  • non avevano predisposto il registro dei trattamenti dei dati
  • non sono stati rispettati i principi di protezione dei dati fin dalla progettazione, e per impostazione predefinita, in violazione del Regolamento europeo Gdpr;
  • non erano stati definiti i tempi di conservazione dei dati raccolti né erano state adottate idonee misure di sicurezza.

parcometro

Dalle verifiche è stato accertato che alcuni flussi di dati da e verso il sistema aggiornato viaggiavano su canali non sicuri.
Il personale addetto, inoltre, avrebbe potuto controllare qualunque targa, magari per conoscere le abitudini di una persona e i luoghi di sosta, senza lasciare alcuna traccia nel sistema informativo.

Nessun incarico formale era stato conferito circa il trattamento dei dati neppure alla società subfornitrice che non era stata istruita su come procedere in merito al trattamento dei dati.

Nel calcolare la sanzione per l’illecito trattamento dei dati, l’Autorità ha tenuto conto della grande quantità di dati personali trattati e delle sanzioni già ricevute per la violazione della privacy, ma anche della positiva collaborazione offerta da Roma Capitale e dalle società per risolvere alcune violazioni riscontrate durante l’ispezione.
Il Garante ha comunque rilevato il permanere di criticità relative alle misure di sicurezza e ha quindi prescritto anche l’adozione di misure correttive e di idonee misure di sicurezza a protezione delle informazioni raccolte.

LEGGI ANCHE: La privacy delle persone decedute: l’Italia sceglie una tutela rafforzata

I dati dei Permessi ZTL

In precedenza il Garante della Privacy aveva riscontrato violazioni relativamente ai Permessi Ztl in quanto i dati risultavano accessibili a chiunque.
Attraverso il codice a barre bidimensionale (QR code) tutti coloro in possesso di un’applicazione installata sullo smartphone e dunque non solo gli addetti al controllo della loro validità, potevano accedere al nominativo del titolare del permesso, al nominativo del suo utilizzatore e alla categoria del richiedente, nonché alla targa del veicolo.
Durante le verifiche del Garante è stata riscontrata un’ulteriore criticità nella gestione dei dati: chiunque, dopo essersi collegato, tramite il QR code, alla pagina web con i dati del permesso esaminato, poteva accedere anche alle informazioni relative agli assegnatari di altri pass semplicemente modificando il numero identificativo del contrassegno.