GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/481/01.png

Dettaglio news
Creatori di software e utilizzatori: chi è il titolare del trattamento? Il Garante sanziona Roma Capitale


martedì 2 febbraio 2021
Avv. Gianni Dell’Aiuto





Con il provvedimento 81 del 2019, a seguito di attività da parte della Guardia di Finanza e all’esito della necessaria istruttoria, veniva accertata da parte del Garante Privacy la violazione della disciplina in materia di trattamento dati da parte di Roma Capitale, ente che utilizzava un sistema, fornito da altra società, per gestire le prenotazioni presso i propri uffici. In particolare il sistema denominato “TuPassi“ con il quale era possibile prenotare servizi di sportello o prenotarsi tramite app, sito web o totem negli uffici stessi. Nella fattispecie, pur utilizzando un sistema fornito dalla società che lo aveva sviluppato, il titolare del trattamento rimaneva l’Ente: Roma Capitale.

Il Garante accertava che le informative non erano esaustive sui trattamenti dei dati personali dell’utenza in quanto veniva fornita solo quella da parte della società sviluppatrice per l’accesso al sistema e non da parte del Comune per le proprie finalità di raccolta. Il personale di Roma Capitale che trattava i dati non era stato formato in quanto i corsi seguiti erano solo sul funzionamento del sistema. Roma Capitale neppure aveva nominato come Responsabile Esterno del Trattamento la società che forniva il sistema e, in quanto tale, effettuava operazioni di trattamento per l’Ente. Altre criticità rilevate riguardavano aspetti tecnici ed il Garante ingiungeva comportamenti per conformare le modalità di trattamento alla vigente disciplina
 
Il Comune di Roma rispondeva alle puntuali contestazioni del Garante ma non contestava le valutazioni in ordine all’illiceità dei trattamenti posti in essere mediante il sistema TuPassi. Pertanto con un provvedimento del 17 Dicembre 2020, tenuto conto di tutti gli elementi da valutare, il Garante emetteva una sanzione amministrativa nella misura di € 500.000,00 nei confronti dell’amministrazione capitolina.

Questi due provvedimenti impongono di richiamare l’attenzione su aspetti non solo di GDPR ma anche e principalmente di contratti e rapporti tra le parti di un contratto che impone una gestione congiunta o quantomeno ripartita da entrambi i players; argomento che sembra non essere ben compreso quando scarichiamo app o accediamo a siti che offrono prestazioni quali non solo le prenotazioni on line ma anche quasi tutte le pagine e piattaforme di e-commerce.

È un problema che non tutti riescono a porsi o, più verosimilmente, entrambe le parti ritengono che la gestione della privacy ricada sull’altra: da un lato il fornitore di un servizio alla propria clientela che richiede alle società di software o agli sviluppatori di siti un pacchetto completo; dall’altro proprio gli stessi sviluppatori che si preoccupano, e non sempre, della loro privacy e si disinteressano di quella del loro cliente e, di conseguenza, degli utenti finali.

Si è anche verificato il caso di imbattersi in un sistema di prenotazione visite mediche dove si dichiara all’utenza del sito che titolare del trattamento è il sito stesso che raccoglie prenotazioni su tutto il territorio nazionale ma, una volta stampata la prenotazione, risulta come titolare del trattamento il professionista scelto dall’utente. Un problema di rapporti decisamente poco chiaro e cha ha determinato i provvedimenti del Garante nei confronti di Roma Capitale. Non si tratta di una sola privacy policy.




CONDIVIDI QUESTA PAGINA!