GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/578/01.jpg

Dettaglio news
Il Garante sanziona ATAC. Conseguenze anche a carico del Comune di Roma?


mercoledì 15 settembre 2021
Avv. Gianni Dell’Aiuto





Con un provvedimento, dello scorso 22 Luglio il Garante per la Protezione dei Dati Personali ha sanzionato ATAC, l’azienda per il trasporto della Capitale, della non proprio irrilevante somma di € 400.000,00 a seguito di una segnalazione con la quale si contestava l’inserimento della targa del veicolo per il pagamento della sosta nei parcometri.

All’esito dell’attività istruttoria emergeva come ATAC, incaricata dal Comune di Roma, nel tentativo di modernizzare i sistemi di pagamento sosta e permettere anche l’uso di carte di credito, chiedeva l’inserimento del dato della targa del veicolo nel parcometro per permettere di non esporre sul veicolo il tagliandino. Con il nuovo sistema usato e il supporto delle piattaforme per il pagamento elettronico, ATAC metteva a disposizione del Comune di Roma (Titolare del Trattamento), degli ausiliari del traffico (autorizzati al controllo) e al personale amministrativo i dati necessari. In sede di verifica ispettiva è stato accertato che la società ha partecipato al trattamento in esame senza che il suo ruolo, quale “responsabile del trattamento”, fosse adeguatamente definito prima dell’inizio del trattamento. Emergeva inoltre anche la partecipazione al procedimento di una società fornitrice, sub appaltatrice, senza che il suo ruolo fosse definito in conformità a quanto previsto dall’art. 28 del Regolamento. Emergeva inoltre la mancata predisposizione del registro delle attività, ancora “in corso di predisposizione” in fase di istruttoria (ergo, dopo l’inizio delle attività,). Altre contestazioni venivano mosse sul sistema dei flussi, considerato non sicuro; al sistema di autenticazione della password (addirittura di cinque caratteri).

ATAC opponeva come fosse responsabilità del Comune la mancata formalizzazione del ruolo di responsabile del trattamento nonostante i solleciti inviati. Sul punto si noti come ATAC sia interamente partecipata dal Comune di Roma. Come dire, la mano destra non sa che cosa fa la sinistra. L’azienda di trasporti, nei propri scritti difensivi, esponeva anche le misure tecniche e gli accorgimenti in corso e il percorso per migliorare la protezione.

Nel provvedimento il Garante ha peraltro posto in evidenza che pur rientrando la regolamentazione di soste e parcheggi a pagamento tra le attività istituzionali affidate agli enti locali, il Titolare o chi se ne occupi per affidamento è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità”, “limitazione della conservazione” e “integrità e riservatezza”. Tutto ciò, ovviamente, dopo aver disciplinato il rapporto, non essendo bastevole l’atto di affidamento.

ATAC non era stata individuata come responsabile e, non essendo stati indicati i presupposti che legittimassero il trattamento, lo stesso è stato ritenuto dal Garante eseguito in mancanza di condizioni di liceità. Apprezzabile ma insufficiente la preventiva attività di sollecitazione al Comune di Roma da parte di ATAC. Venivano poi individuati come comportamenti contrari al GDPR il mancato obbligo di predisposizione dei registri nonché la mancata adozione di adeguati strumenti di protezione nella filiera del trattamento.

Da ciò scaturiva la sanzione economica di € 400.000,00 ma anche, stante l’individuazione di criticità nel trattamento, nonché della mole di dati trattai, di implementare da parte di ATAC misure di sicurezza tecniche di sicurezza e prevenzione che comporteranno ulteriori costi e che dovevano essere adottate preventivamente.

In questa vicenda sorgono anche dubbi sulla correttezza del comportamento complessivo del Comune di Roma e, in ogni caso, siamo nuovamente di fronte ad una vicenda che dimostra l’assoluta mancanza di consapevolezza da parte di Istituzioni e aziende dell’importanza di corrette privacy policy. Non è escluso che il Garante voglia anche sul punto vederci chiaro. 

Nel caso specifico, infine, i costi per gli accorgimenti tecnici, obbligatoriamente da predisporre e portare a conoscenza del Garante in tempi stretti (trenta giorni), possono gravare non poco sui bilanci aziendali di ATAC e dello stesso Comune di Roma.

 




CONDIVIDI QUESTA PAGINA!