g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Flowbird s.r.l. - 22 luglio 2021 [9698558]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 10 settembre 2021

 

[doc. web n. 9698558]

Ordinanza ingiunzione nei confronti di Flowbird s.r.l. - 22 luglio 2021

Registro dei provvedimenti
n. 292 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

1. Premessa

Da una istruttoria avviata a seguito di una segnalazione presentata all’Autorità nel mese di XX, è emerso che per il rilascio dei contrassegni attestanti il pagamento della sosta nei parcheggi di Roma Capitale, viene richiesto l’inserimento, negli appositi parcometri, della targa dell’autoveicolo per il quale si effettua il pagamento.

2. Attività istruttoria

In relazione al caso è stata avviata un’istruttoria, nel corso della quale si è svolta anche un’attività ispettiva in collaborazione con il Nucleo speciale Privacy della Guardia di finanza.

Dall’accertamento è emerso che, con deliberazione di Giunta Capitolina n. XX del XX, Roma Capitale ha affidato ad Atac s.p.a. i servizi complementari al trasporto pubblico di linea, relativi alla gestione dei parcheggi di scambio e della sosta tariffata su strada per il periodo XX (prorogato fino al XX in forza della Deliberazione di Assemblea Capitolina n. XX del XX).

Su proposta di Atac s.p.a., sono stati installati, nel mese di XX, sul territorio di Roma Capitale, alcuni parcometri “evoluti”, forniti dalla società Flowbird Italia s.r.l. (già Parkeon s.r.l., di seguito, la società), sulla base di un contratto redatto con  Atac s.p.a  (verbale XX e all. 10), al fine di consentire il pagamento anche mediante carte di debito/credito, la personalizzazione del pagamento mediante l’inserimento della targa del veicolo (con la conseguente non necessità per l’utente di esporre il tagliando di pagamento) e la possibile attivazione di servizi aggiuntivi sul parcometro (es. pagamento sanzione/tributi, acquisto/rinnovo dei titoli del trasporto pubblico).

Per quanto riguarda l’architettura funzionale del sistema, Atac s.p.a, per conto di Roma Capitale, titolare del trattamento, ha realizzato un sistema centralizzato che si occupa di raccogliere le informazioni (l’ora, la data di inizio e fine sosta, l’importo pagato e la targa) dai citati parcometri “evoluti”.

Infatti, secondo quanto dichiarato dalla società, alcuni applicativi (Smartfolio e Pulsar) sono accessibili ai propri clienti, tra cui Atac s.p.a., per “la gestione e la rendicontazione del servizio (es. accesso riservato agli ausiliari del traffico di Atac s.p.a. per l’accertamento del pagamento della sosta)” (XX, all. 5). In particolare, l’applicativo “Pulsar” della società, “conserva informazioni relative alla targa del veicolo, al costo della sosta, data e ora inizio sosta, data e ora fine sosta ecc.” (verbale XX).

In sede di verifica ispettiva è stato accertato, altresì, che la società ha partecipato al trattamento in esame senza che il suo ruolo, quale “(sub) responsabile del trattamento” fosse adeguatamente definito prima dell’inizio del trattamento, in violazione dell’art. 28 del Regolamento, pur prendendo atto della richiesta della società, di “formalizzare detto ruolo” (verbale XX, all.7) e della effettiva designazione avvenuta in data XX (nota del XX, all. 5 e 6).

Inoltre, con riferimento all’obbligo di redigere, prima dell’inizio del trattamento, un registro delle attività di trattamento svolte sia in qualità di titolare del trattamento, sia in qualità di responsabile del trattamento (per le attività poste in essere per conto di altri titolari del trattamento), ai sensi dell’art. 30 del Regolamento, la società ha dichiarato che “non ha provveduto a redigere alcun tipo di registro …”  (verbale XX); “riguardo al registro dei trattamenti […] faccio presente che [è] in corso di redazione” (verbale XX e all. 15).

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, ha notificato alla società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando la società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Con la nota sopra menzionata, l’Ufficio ha rilevato che la società ha partecipato al trattamento dei dati personali raccolti attraverso i nuovi parcometri installati sul territorio, senza che il suo ruolo fosse stato definito e dunque in assenza di una condizione di liceità e senza aver adottato i registri del trattamento, in violazione degli artt. 5, 6 e 30 del Regolamento.

Con nota del XX, la società ha dichiarato che:

“la società Flowbird Italia s.r.l. era obbligata a fornire i parcometri evoluti e i servizi connessi ad ATAC S.p.a., società pubblicata interamente partecipata dal Comune di Roma, in forza di contratto del XX;

pur in mancanza della formalizzazione del proprio ruolo, se Flowbird si fosse astenuta dal porre in essere i trattamenti dei dati dell’utenza si sarebbe potuta determinare una interruzione del servizio di trasporto pubblico locale e di gestione della sosta del Comune di Roma;

sotto questo profilo la condotta di Flowbird apparirebbe in ogni caso scriminata dall’adempimento dei doveri assunti nei confronti di ATAC, soggetto esercente un pubblico servizio e ricoprente una pubblica funzione nell’attività di accertamento delle violazioni degli utenti;

quanto sopra consente di comprendere come la società Flowbird Italia S.r.l., ormai tenuta all’adempimento del contratto di servizi sottoscritto con ATAC prima dell’entrata in vigore del GDPR, non potesse astenersi, dopo il 25 maggio 2018, dall’eseguire il contratto da cui dipendeva la gestione di oltre 900 parcometri (e dei servizi pubblici connessi) del Comune di Roma;

il registro di trattamento era stato predisposto dalla società Capogruppo di Flowbird Italia s.r.l., ed esibito ai militari della Guardia di Finanza in sede di ispezione del XX;

l’art. 30 del GDPR ne prescrive la tenuta alle imprese od organizzazioni, ciò che induceva Flowbird Italia a ritenere assolto l’obbligo da parte della propria società capogruppo, trattandosi della stessa organizzazione;

ad ogni buon conto, si produce il Registro di trattamento predisposto dalla società Flowbird, rilevando come la società si sia proficuamente attivata per attenuare gli effetti della ravvisata violazione mediante la pronta istituzione del proprio registro di trattamento (cfr. registro allegato sub 11)”.

In data XX si è tenuta l’audizione richiesta ai sensi dell’art. 166, comma 6, del Codice, nel corso della quale la società ha ulteriormente precisato che “l’inadempimento degli obblighi contratti con Atac era soggetto a penale e per tale motivo non era in condizioni di rifiutare l’erogazione del servizio prima della nomina a sub responsabile da parte di Atac, tenuto conto della natura di servizio pubblico”.

3. Esito della attività istruttoria

In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici possono trattare i dati solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento). In tale quadro, la regolazione delle soste e dei parcheggi a pagamento rientra tra le attività istituzionali affidate agli enti locali.

Pur in presenza di una condizione di liceità, ad ogni modo, il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati (art. 5 del Regolamento).

3.1 Il trattamento svolto dalla società

Ai sensi dell’art. 28 del Regolamento, il titolare può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”). In questo caso, “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (art. 28, par. 1 e 3, del Regolamento).

Inoltre, il responsabile del trattamento “non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento” e “quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento” (art. 28, par. 2 e 4 del Regolamento).

Come emerso nel corso dell’istruttoria il trattamento dei dati in esame, svolto dalla società è stato avviato senza che il ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento, in quanto il contratto stipulato il XX con Atac s.p.a. non soddisfa le caratteristiche dell’atto giuridico volto a regolamentare il rapporto con il Responsabile del trattamento, non contenendo gli elementi previsti dall’art. 28 del Regolamento (cfr. spec. par. 3 e 4).

Come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie, non essendo stata individuata come responsabile del trattamento e non essendo stati indicati da parte della società specifici presupposti che abbiano legittimato il trattamento dei dati personali, si deve concludere che lo stesso è stato effettuato in assenza delle condizioni di liceità previste dal Regolamento e dal Codice (cfr. provvedimento n. 161 del 17 settembre 2020, doc. web. 9461321; provvedimento n. 281 del 17 dicembre 2020, doc. web 9525315; Linee guida “sui concetti di titolare e responsabile del trattamento nel GDPR” n. 07/2020, in particolare nota 35).

Pur prendendo favorevolmente atto che la società aveva sollecitato la propria nomina quale responsabile del trattamento (verbale XX8, all.7), non può essere ritenuto sufficiente, ai fini della valutazione sulla liceità del trattamento da parte della società, la circostanza che il trattamento fosse previsto del contratto per l’erogazione di un servizio di pubblico interesse di trasporto.

L’art. 6, par. 1, lett.  e) del Regolamento, infatti, ammette il trattamento se necessario “per l’esecuzione di un interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, legittimando, pertanto, il “titolare del trattamento” (Roma Capitale), investito da un compito di interesse pubblico, a trattare i dati per tale finalità e non altri soggetti che trattano i dati per conto del titolare.

Pertanto, in assenza della prescritta nomina quale “(sub)responsabile del trattamento” e non essendo stati individuati dalla società altri presupposti che possano legittimare il trattamento dei dati personali degli utenti del servizio in esame, il trattamento dei dati personali svolto dalla società a partire dal mese di XX e fino alla data di effettiva designazione, avvenuta in data XX (nota del XX, all. 5 e 6), risulta essere stato effettuato in assenza di idonea base giuridica e quindi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.

3.2 I registri delle attività di trattamento

Il Regolamento prevede, tra gli obblighi generali connessi alle attività di trattamento dei dati personali, l’obbligo, in capo a ogni titolare del trattamento e responsabile del trattamento (per le attività poste in essere per conto del titolare), la redazione dei “registri delle attività di trattamento” (art. 30 del Regolamento).

Sulla base di quanto dichiarato dalla società (verbale del XX) è stata accertata la mancata adozione dei “registri del trattamento”.

Tali strumenti, idonei a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione e/o dei trattamenti svolti per conto del titolare del trattamento, sono indispensabili per valutare la conformità dei trattamenti alla disciplina in materia di protezione dei dati personali e dunque sono preliminari rispetto all’avvio degli stessi.

Pertanto, si rileva la violazione dell’art. 30 del Regolamento sugli obblighi di tenuta del registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento,  prendendo comunque atto della tardiva adozione dei registri predetti come dichiarato dalla società nella nota del XX

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla società della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata, nonché dalle successive valutazioni, è stata accertata la non conformità dei trattamenti svolti dalla società aventi ad oggetto i dati raccolti attraverso i nuovi parcometri forniti ad Atac s.p.a. e operativi sul territorio di Roma Capitale a partire dal mese di XX

La violazione dei dati personali, oggetto dell’istruttoria, è avvenuta nella piena vigenza delle disposizioni del Regolamento e del Codice, come modificato dal d.lg.n.101/2018, e dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, avvenuta a partire dal mese di XX.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla società a partire dal mese di XX, in quanto esso è avvenuto in assenza di una specifica condizione di liceità e in mancanza di adempimento dell’obbligo di redigere un registro del trattamento, in violazione degli artt. 5 par. 1 lett. a), 6 e 30 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento dei dati personali raccolti attraverso i nuovi parcometri operativi a partire dal mese di XX ha interessato potenzialmente tutti i soggetti che usufruiscono del servizio di sosta a pagamento sul territorio di Roma Capitale, si è protratto per quasi un anno, in mancanza di una specifica condizione di liceità e in mancanza di adozione del registro delle attività di trattamento.

Tale violazione è stata portata a conoscenza dall’Autorità mediante una segnalazione.

Di contro è stato considerato che la società aveva sollecitato la definizione del proprio ruolo quale “(sub) responsabile del trattamento” già nel mese di XX, ha provveduto a redigere i registri delle attività di trattamento, manifestando, in generale, un atteggiamento di ampia collaborazione, nel corso dell’attività istruttoria, con l’Autorità. Si evidenzia, in ogni caso, il comportamento non doloso della violazione. Non risultano, inoltre, precedenti violazioni del Regolamento pertinenti commesse dalla società.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 30.000 per la violazione degli artt. 5, par. lett. a), 6 e 30 del Regolamento quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Tenuto conto del numero degli interessati coinvolti nel trattamento in esame, svolto in assenza di una condizione di liceità, si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara illecita la condotta tenuta da Flowbird s.r.l. per la violazione degli artt. 5, par. 1, lett. a), 6 e 30 del Regolamento, nei termini di cui in motivazione,

ORDINA

a Flowbird s.r.l. in persona del legale rappresentante pro-tempore, con sede legale in Via Giuseppe Ripamonti n. 89, 20141, Milano - P. Iva 04065160964- di pagare la somma di euro 30.000 a titolo di sanzione amministrativa pecuniaria per le violazioni degli artt. 5, 6 e 30 del Regolamento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

a Flowbird s.r.l. di pagare la somma di euro 30.000 in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, 17 entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981:

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei