Il Garante rileva l'assenza dei contratti di nomina a "Responsabile del trattamento" all'interno di una filiera di fornitori e subfornitori e sanziona tutti i soggetti coinvolti
Fonte: Garante per la protezione dei dati personali
Il Garante interviene per sanzionare tutti i soggetti coinvolti all'interno di una filiera di fornitori e subfornitori non soltanto per violazioni "sostanziali" al GDPR, che mettono direttamente a rischio la sicurezza e la privacy di dati personali, ma anche per gravi inadempienze formali.
Il caso specifico riguarda l'operatività di un modello di parcometro "intelligente" di ultima generazione fornito da un soggetto privato (Flowbird Italia srl) ad Atac spa, la società che gestisce i parcheggi per conto di Roma Capitale, ma anche e soprattutto il rapporto giuridico attinente il GDPR tra i soggetti citati.
L'irregolarità sostanziale riguarda la quantità, la tipologia e la modalità di gestione dei dati personali immessi dagli utenti nei parcometri.
Da verifiche tecniche è infatti emerso che questi strumenti, utilizzabili, oltre che a pagare la sosta, anche per pagare sanzioni e tributi o per acquistare e rinnovare abbonamenti e biglietti del trasporto pubblico, acquisiscono e gestiscono una quantità significativa di dati personali, potenzialmente accessibili e incrociabili da malintenzionati, soprattutto a fronte dell'utilizzo di canali di trasmissione non sicuri.
L'intervento del Garante però non si ferma qui, in quanto evidenzia e sanziona anche alcune violazioni documentali, in particolare perché risultano assenti le nomine a "Responsabile del trattamento" in capo ai soggetti coinvolti.
E' importante infatti ricordare che il rapporto tra Titolare e Responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al Titolare di impartire istruzioni al Responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare.
Il Responsabile del trattamento è pertanto legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del Titolare” (art. 28, par. 3, lett. a) del Regolamento).
Nel caso in esame il Comune non aveva stipulato un contratto con la società di gestione dei parcheggi per l'affidamento dell'incarico di Responsabile del trattamento e quest'ultima non aveva fatto altrettanto con la fornitrice dei parcometri per l'affidamento dell'incarico di sub-responsabile del trattamento.
_________________________________________________________
Ricollegandoci al caso descritto, ricordiamo che iSimply propone un ventaglio di servizi a supporto delle organizzazioni sul tema della conformità normativa al GDPR e in particolare offriamo un intervento specifico proprio per esaminare nel dettaglio la correttezza sostanziale e formale dei rapporti con i fornitori.
Per avere maggiori informazioni in merito vi invitiamo a contattarci telefonicamente al numero 0125 1899500 oppure tramite mail, all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..
Di seguito i collegamenti alle ordinanze del Garante nei confronti dei soggetti coinvolti:
Ordinanza di ingiunzione n° 292
Ordinanza di ingiunzione n° 293
Ordinanza di ingiunzione n° 294
