Il Garante sanziona il Comune di Roma per la mancata tutela della privacy degli utenti ZTL
Fonte: Garante per la protezione dei dati personali
A seguito di una segnalazione e di alcuni articoli di stampa, il Garante è intervenuto comminando una sanzione complessiva di 410mila euro al Comune di Roma e alla società dei servizi per la mobilità per non aver protetto in modo adeguato i dati dei cittadini titolari di un permesso di accesso alle zone a traffico limitato.
Nello specifico, si è accertato che i permessi di accesso esposti sulle vetture presentavano un codice a barre (QR code), utilizzato dagli addetti per verificare la validità del contrassegno, che però poteva essere "letto" e "interpretato" anche con le comuni applicazioni (app) disponibili nella maggior parte degli smartphone in commercio.
Chiunque, quindi, avrebbe potuto accedere al nominativo del titolare del permesso (ad esempio il nome dell'azienda, dell'istituzione, della scuola specifica o della persona fisica), al nominativo del suo utilizzatore e alla categoria del richiedente, nonché alla targa del veicolo.
Un'ulteriore criticità era costituita dal fatto che, dopo essersi collegati tramite il QR code alla pagina web con i dati del permesso esaminato, era possibile accedere anche alle informazioni relative agli assegnatari di altri pass, semplicemente modificando il numero identificativo del contrassegno.
Differenti sono le responsabilità contestate al Comune e alla società dei servizi per la mobilità:
la società, designata responsabile del trattamento dei dati, non aveva valutato correttamente i rischi e aveva progettato e realizzato un sistema informativo inadeguato, che non limitava l'accesso ai dati alle sole persone autorizzate;
il Comune, titolare del trattamento dei dati relativi ai pass, non aveva invece adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento, non fornendo inoltre alla società di servizi per la mobilità istruzioni specifiche per trattare correttamente i dati personali degli utenti del servizio, impedendo l'accesso da parte di terzi non autorizzati. In aggiunta, il Comune non aveva nominato come responsabile del trattamento un'ulteriore società che forniva il servizio di "hosting" dei sistemi informatici utilizzati per la gestione dei permessi.
Oltre che alla sanzione pecuniaria, a entrambi i soggetti sono state imposte misure correttive per limitare la consultazione dei dati personali relativi ai permessi ZTL.
In questa occasione viene nuovamente sottolineato con forza il principio della "privacy by design", e cioè la necessità di prevedere e incorporare la tutela della privacy fin dalla progettazione dei processi aziendali e delle relative applicazioni informatiche di supporto.
