PERMESSI ZTL, SANZION E A ROMA 350.000€ (Garante 11/02/2021) di M.Mancini

by Massimiliano Mancini

Settembre 20, 2021

in Corte di Cassazione, Notizie, Privacy

Nessun commento

7162

I PERMESSI ZTL NON DEBBONO RIVELARE L’IDENTITÀ DEL TITOLARE.
SANZIONE A ROMA CAPITALE DI 350.000€.

di Massimiliano Mancini (massimiliano.mancini-privacy@hotmail.com) [a]

Abstract: I permessi per accedere alle zone a traffico limitato di Roma Capitale sono stati realizzati con un QR Code che, che consente a chiunque, mediante l’utilizzo di una generica applicazione per cellulari di conoscere i dati personali del titolare o dell’utilizzatore. Il Garante per la protezione dei dati, con provvedimento dell’11 febbraio 2021, ha elevato a carico dell’amministrazione cittadina la sanzione di 350.000 €.

Keywords: #privacy #GDPR #Garante #GarantePerLaPrivacy #GarantePerLaProtezioneDeiDatiPersonali #valutazionedimpatto #dpia #pia #trattamentodatipersonali #ztl #sanzioniprivacy #RomaCapitale #SanzioneRomaCapitale #MassimilianoMancini #EspertiUPLI #UPLI #UnionePoliziaLocaleItaliana

[a] Segretario Generale UPLI, criminologo, già comandante dirigente di Polizia Locale e Provinciale, DPO/RPD e consulente privacy in enti pubblici e aziende private esperto in DPIA.

Indice

I fatti; L’istruttoria; La decisione.

I fatti

Il Garante ha appreso da fonti di stampa e da una segnalazione che l’amministrazione capitolina di Roma Capitale ha rilasciato permessi cartacei da esporre sui veicoli per l’accesso e la sosta nelle zone a traffico limitato (ZTL), che riportano sul frontespizio un QR code, che consente a chiunque, mediante l’utilizzo di una generica applicazione per dispositivi mobili di conoscere i dati personali relativi al titolare del permesso Z.T.L. o al suo utilizzatore.

L’istruttoria

Gli accertamenti del Garante hanno nel dettaglio che i QR code codificano indirizzi web in formato URL del tipo https://permessiweb.atac.roma.it/VerifyPermit.aspx?PID=nnn&Source=xyz, che includono al loro interno due parametri: il primo (denominato “PID”), identificativo del singolo permesso, costituito da una sequenza numerica, il secondo (denominato “Source”), che indica l’eventuale validità temporanea del permesso.

In questo modo chiunque avrebbe potuto collegarsi all’indirizzo web del servizio di verifica dei permessi Z.T.L., accedendo così ai dati relativi al singolo permesso, tra cui: la denominazione sociale o istituzionale (es. Questura di Roma, scuola elementare) oppure il nome e il cognome (nel caso di persona fisica) del titolare del permesso, il nome e il cognome dell’utilizzatore del permesso, la categoria del richiedente (es. artigiano, lavoratore orari notturni), nonché la targa del veicolo autorizzato.

Il Garante ma ha anche accertato che, semplicemente incrementando o diminuendo l’identificativo numerico del parametro denominato “PID” nel permesso all’interno dell’indirizzo web del servizio di verifica, era possibile persino visualizzare anche i dati personali relativi ad altri permessi Z.T.L.

Il 20 maggio 2019 si è svolta l’audizione presso il Garante, ai sensi dell’art. 166, comma 6[1], richiesta da Roma Capitale, che ha rappresentato che “Roma Servizi per la Mobilità ha sempre ribadito […] la funzionalità dei contrassegni muniti di QR Code per il controllo da parte degli agenti accertatori e che le misure tecniche all’epoca adottate fossero rispondenti alla normativa vigente, [constatando] l’inidoneità delle stesse solamente a seguito di quanto è emerso al momento degli addebiti del Garante”, e da Atac, che ha chiarito che fornisce a Roma Servizi esclusivamente un servizio di hosting e di manutenzione di data base e connettività e che non ha accesso ai dati personali trattati nei server messi a disposizione.

La decisione

L’autorità garante per la protezione dei dati personali, ha considerato il comportamento non doloso e ha tenuto conto dell’atteggiamento riparatorio di Roma Capitale, che si è attivata al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, introducendo alcune prime misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento[2].

Si è tenuto inoltre conto però anche delle precedenti violazioni rilevate dall’Autorità nei confronti della stessa Roma Capitale nell’ambito di precedenti procedimenti (provv. n. 280 del 17 dicembre 2020 e provvedimento n. 48 del’11 febbraio 2021).

Pertanto nella valutazione complessiva degli elementi attenuanti e aggravanti del comportamento del Titolare del trattamento dei dati ha applicato la sanzione pecuniaria, nella misura di euro 350.000,00 (trecentocinquantamila) per la violazione degli artt. 5, 6, 28 e 32 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva ai sensi dell’art. 83, par. 1, del GDPR[3].

In considerazione dell’elevato numero degli interessati coinvolti nella illecita diffusione, che si è protratta per più di un anno, ha inoltre applicato la sanzione accessoria della pubblicazione del provvedimento sul sito del Garante, come previsto dall’art. 166, comma 7, del Codice e art. 16, comma 1, del Regolamento del Garante n. 1/2019.

[1] Decreto legislativo 30/06/2003 n. 196 “Codice in materia di protezione dei dati personali”, art. 166 (Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori) c. 6: «Entro trenta giorni dal ricevimento della comunicazione di cui al comma 5, il contravventore può inviare al Garante scritti difensivi o documenti e può chiedere di essere sentito dalla medesima autorità.».

[2] Regolamento UE/2016/679 GDPR, art.32 (Sicurezza del trattamento) c.1: «Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.».

[3] Regolamento UE/2016/679 GDPR, art.83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie) c.1: «1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive. 2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi: a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. 3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. 4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4; 5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b) i diritti degli interessati a norma degli articoli da 12 a 22; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1. 6. In conformità del paragrafo 2 del presente articolo, l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. 7. Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro. 8. L’esercizio da parte dell’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie procedurali adeguate in conformità del diritto dell’Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo. 9. Se l’ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l’azione sanzionatoria sia avviata dall’autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro il 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica.».

PER SCARICARE I DOCUMENTI:

2021s04 M.Mancini-I permessi ZTL non debbono rivelare l’identità del titolare (Garante 11-02-2021)

GarantePrivacy-9562852-1.3

LE ULTIME 5 SENTENZE COMMENTATE:

ALCOLTEST INUTILIZZABILE SENZA CONSENSO (Cassazione 03/06/2021) di G.Lombardi

ALCOLTEST SENZA DIFENSORE (Cassazione 07/01/2021) di D.Carola

NULLITÀ SANZIONI COVID (GdP Frosinone 15-29/07/2020) di D.Carola

BUCHE SUL MANTO STRADALE (Cassazione 07/07/2020) di D.Carola

FERIE NON GODUTE (Cassazione 02/07/2020) di D.Carola

GLI ULTIMI 5 EVENTI:

CORSO DI ALTA FORMAZIONE CITTÀ DI FIUMICINO

8° WORKSHOP ALTA FORMAZIONE PROVINCIA DI FROSINONE