g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Atac s.p.a. - 22 luglio 2021 [9698597]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 10 settembre 2021

 

[doc. web n. 9698597]

Ordinanza ingiunzione nei confronti di Atac s.p.a. - 22 luglio 2021

Registro dei provvedimenti
n. 293 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

1. Premessa

Da una segnalazione presentata all’Autorità nel mese di XX, è emerso che per il rilascio dei contrassegni attestanti il pagamento della sosta nei parcheggi di Roma Capitale, viene richiesto l’inserimento, negli appositi parcometri, della targa dell’autoveicolo per il quale si effettua il pagamento.

2. Attività istruttoria

In relazione al caso è stata avviata un’istruttoria, nel corso della quale si è svolta anche un’attività ispettiva in collaborazione con il Nucleo speciale privacy della Guardia di finanza.

Dall’accertamento è emerso che, con deliberazione di Giunta Capitolina n. XX del XX, Roma Capitale (nota n. XX del XX, allegata alla nota di Roma Capitale n. XX) ha affidato ad Atac s.p.a. (di seguito, la società), i servizi complementari al trasporto pubblico di linea, relativi alla gestione dei parcheggi di scambio e della sosta tariffata su strada per il periodo XX (prorogato fino al XX in forza della Deliberazione di Assemblea Capitolina n. XX del XX).

Su proposta della società (nota del XX, allegata alla citata deliberazione), alcuni parcometri in gestione sono stati oggetto di un adeguamento tecnologico, al fine di consentire il pagamento anche mediante carte di debito/credito, la personalizzazione del pagamento mediante l’inserimento della targa del veicolo (con la conseguente non necessità per l’utente di esporre il tagliando di pagamento) e la possibile attivazione di servizi aggiuntivi sul parcometro (es. pagamento sanzione/tributi, acquisto/rinnovo dei titoli del trasporto pubblico). Tale fase di “modernizzazione” è stata conclusa nel mese di X, a partire dal quale i nuovi parcometri sono diventati operativi (nota n. XX del XX).

Per quanto riguarda l’architettura funzionale del sistema, Atac s.p.a ha realizzato, anche per conto di Roma Capitale, titolare del trattamento, ,un sistema centralizzato che si occupa di raccogliere le informazioni (l’ora, la data di inizio e fine sosta, l’importo pagato e la targa) relative al pagamento della sosta effettuato tramite app messe a disposizione da diversi gestori (myCicero, easyPark, etc.) o parcometri “evoluti” Pay&Go (gestiti dalla società Parkeon s.r.l., ora Flowbird Italia s.r.l.) e di renderle disponibili sia agli ausiliari al traffico (di Roma Capitale in qualità di autorizzati al trattamento dei dati) per le finalità di verifica dell’avvenuto pagamento della sosta (mediante l’utilizzo dell’app E-Multe-S, installata sugli smartphone aziendali), sia al personale interno, per finalità di gestione amministrativa, in qualità di autorizzati al trattamento dei dati ai sensi dell’art. 29 del Regolamento.

In sede di verifica ispettiva è stato accertato che la società ha partecipato al trattamento in esame senza che il suo ruolo, quale “responsabile del trattamento”, fosse adeguatamente definito prima dell’inizio del trattamento. Analogamente risulta verificata la partecipazione di Flowbird Italia s.r.l., senza che il suo ruolo, quale “(sub) responsabile del trattamento”, fosse adeguatamente definito in conformità a quanto previsto dalla disciplina di protezione dei dati personali (art. 28 del Regolamento). In particolare, la nomina della società Atac s.p.a quale responsabile del trattamento, è avvenuta nel corso dell’istruttoria, in data XX (all. 5 verbale XX). Si rileva, in ogni caso, che la società con nota n. XX del XX, aveva già richiesto la “formalizzazione […] della nomina, quale responsabile esterno in riferimento al contratto di servizio con Roma Capitale”.

Infine, con riferimento all’obbligo di redigere, prima dell’inizio del trattamento, un registro delle attività di trattamento svolte ai sensi dell’art. 30 del Regolamento, la società ha dichiarato che “il documento in parola è in corso di redazione … si sta provvedendo a predisporre sia il registro delle attività di trattamento quale titolare che in qualità di responsabile, nel secondo sarà ricompreso anche il trattamento in esame…”  (verbale XX).

Per quanto concerne il numero di interessati coinvolti, il trattamento in esame riguarda, in linea estensiva, tutti coloro che usufruiscono del servizio di sosta nel territorio del Comune di Roma Capitale (residenti e non). Nel corso delle verifiche effettuate (tabella dbo.sosta inizio, verbale del XX, allegato 9) è emerso che, fino al XX, sono già stati registrati nel sistema 8.600.000 dati relativi alle soste effettuate dai veicoli.

Da ultimo, per quanto concerne le misure di sicurezza che riguardano sia aspetti di natura tecnologica sia aspetti di natura organizzativa, la cui adozione spetta sia al titolare, Roma Capitale, sia alla società, in qualità di responsabile del trattamento ai sensi degli artt. 5, par. lett. f) e art. 32 del Regolamento, è stato accertato (verbali XX) che:

- alcuni flussi di dati “da e verso” il sistema ATAC non si avvalgono di canali di comunicazioni sicuri. In particolare, per la verifica dell’avvenuto pagamento della sosta, gli ausiliari del traffico accedono al sistema ATAC con l’app “E-Multe-S” che comunica con il server in questione mediante l’utilizzo del protocollo http (verbale del XX), trasmettendo i dati in chiaro;

- il sistema di autenticazione non garantisce idonee misure di sicurezza relativamente al formato delle password ed alla memorizzazione delle stesse nel database. Le password utilizzate per l’autenticazione degli ausiliari sono infatti memorizzate in chiaro all’interno del data base (verbale del XX) e composte da 5 caratteri, così come confermato durante una simulazione di utilizzo dell’app in questione (verbale del XX).

- inoltre, non risulta implementato alcun meccanismo che consenta la tracciabilità delle operazioni effettuate (log applicativo) dagli utenti del sistema sui dati personali, siano essi amministratori di sistema ovvero operatori di back office e ausiliari al traffico (verbale del XX). Tale carenza esclude la possibilità di effettuare verifiche ex post sull’operato degli addetti rispetto al trattamento informatizzato di un grande volume di dati relativi a un elevato numero di interessati, dati che possono potenzialmente prestarsi a usi fraudolenti in loro danno, consentendo di rilevare lo stato di assenza da casa o la presenza in una determinata zona della città in un dato periodo di tempo.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, ha notificato alla società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando la società a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Con la nota sopra menzionata, l’Ufficio ha rilevato che la società ha effettuato il  trattamento dei dati personali raccolti attraverso i nuovi parcometri installati sul territorio, senza che il suo ruolo, quale “responsabile del trattamento” fosse stato precedentemente  definito  da Roma Capitale, titolare del trattamento e, dunque, in assenza di una condizione di liceità, senza aver contribuito, sulla base delle proprie competenze tecniche specifiche, ad adottare idonee misure di sicurezza e senza aver adottato i registri del trattamento, in violazione degli artt. 5, 6, 30 e 32 del Regolamento.

Con nota del XX, la società ha dichiarato che:

- “la mancata designazione ai sensi dell’art. 28 del GDPR era causata dall’omessa formalizzazione di ATAC quale responsabile di trattamento da parte del Comune di Roma. Nonostante i reiterati solleciti formulati da ATAC al Comune di Roma, infatti, quest’ultimo non provvedeva a designare formalmente la propria società partecipata quale responsabile di trattamento (cfr. nota n. XX del XX in cui ATAC sollecitava la formalizzazione del proprio ruolo);

- “ATAC è una società pubblica interamente partecipata dal Comune di Roma che svolge, tra le molteplici attività a servizio del Comune stesso: la progettazione delle reti e dei sistemi di mobilità, la progettazione, la realizzazione e la gestione delle linee di trasporto, la gestione operativa del servizio di trasporto pubblico, la gestione unitaria del sistema tariffario integrato, la gestione dei sistemi di ticketing, anche mediante affidamento a terzi e la gestione della sosta e delle attività complementari. Orbene, i trattamenti oggetto di esame da parte del Garante si collocano proprio nell’esecuzione delle citate attività di pubblico interesse di trasporto pubblico, nonché nell’adempimento della pubblica funzione di accertamento e repressione degli illeciti amministrativi su delega del Comune di Roma. Si comprende allora come, pur in mancanza della formalizzazione del proprio ruolo da parte del Comune di Roma, se ATAC si fosse astenuta dal porre in essere i trattamenti dei dati dell’utenza si sarebbe determinata una paralisi del servizio di trasporto pubblico locale e di gestione della sosta, e dunque con tutta evidenza dell’intera città di Roma;

- “in data XX si perfezionava l’accordo ai sensi dell'art. 28 del GDPR tra ATAC e Flowbird Itali s.r.l. con designazione di quest'ultima a sub-responsabile del trattamento riguardo ai dati personali acquisiti dai parcometri per quanto riguarda il rilascio dei titoli della sosta”;

- “si allega inoltre il Registro del responsabile del trattamento dei dati personali …, in esecuzione del Contratto di Servizio sottoscritto in data XX con Roma Capitale e approvato con Delibera della Giunta Capitolina n. XX)”.

Per quanto concerne, inoltre, le misure di sicurezza adottate, in allegato alle memorie difensive è stata fornita una “dichiarazione sulle misure di sicurezza adottate” (all. 11), dalla quale emerge che, a partire dal mese di XX (successivamente cioè all’avvio dell’istruttoria da parte del Garante), la società ha implementato le seguenti misure:

- “identificazione degli utenti mediante utilizzo di password personali di lunghezza minima pari a 8 caratteri sottoposte a criptazione;

- log di sistema a livello di accessi al db attraverso la registrazione sia degli accessi avvenuti con successo che dei tentativi non riusciti;

- applicazione del certificato digitale sul canale di comunicazione fra lo smartphone dell’ausiliario ed il server Atac (utilizzo del protocollo https);

- criptazione monodirezionale delle password applicative con algoritmo di hash SHA2_256;

- implementazione del cambio password degli agenti con scadenza a tre mesi;

- […] nuova modalità di gestione della programmazione dei servizi riguardanti il controllo sul territorio effettuato dagli Ausiliari del Traffico della sosta tariffata mediante l’utilizzo di una nuova piattaforma di proprietà ATAC (GTP-Sosta). […] La suddetta piattaforma è in grado di assegnare quotidianamente i percorsi da verificare sulla base di frequenze settimanali predeterminate nel rispetto degli obiettivi di qualità indicati nel Contratto di Servizio. Attraverso GTP-Sosta, in modalità automatizzata e casuale, gli Ausiliari del Traffico vengono dunque assegnati ai “camminamenti” (percorsi di servizio), affinché le squadre siano composte sempre da Ausiliari del Traffico diversi per camminamenti diversi ma comunque appartenenti allo stesso turno e presidio. L’adozione di tale misura di sicurezza esclude la possibilità che gli Ausiliari del Traffico percorrano sempre lo stesso percorso loro assegnato per la verifica della sosta e così possano rilevare le stesse targhe delle vetture che eventualmente dovessero parcheggiare sempre nello stesso posto/zona”.

In data XX si è tenuta l’audizione richiesta ai sensi dell’art. 166, comma 6, del Codice, nel corso della quale la società ha dichiarato, tra l’altro, di aver intrapreso un percorso per acquisire la certificazione ISO 27001 e di aver concluso, in data XX, l’attività di redazione dei registri delle attività di trattamento.

3. Esito dell’attività istruttoria

In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici (quali Roma Capitale, titolare del trattamento in esame, possono trattare i dati solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento). In tale quadro, la regolazione delle soste e dei parcheggi a pagamento rientra tra le attività istituzionali affidate agli enti locali.

Pur in presenza di una condizione di liceità, ad ogni modo, il titolare del trattamento (Roma Capitale) è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza”, “limitazione della conservazione”  e “integrità e riservatezza” in base ai quali i dati sono “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato”, “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” e  “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati” (art. 5, par. 1, lett. a), e) e f), del Regolamento).

3.1 Il trattamento dei dati effettuato dalla società

Ai sensi dell’art. 28 del Regolamento, il titolare può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”). In questo caso, “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (art. 28, par. 1 e 3, del Regolamento).

Come emerso nel corso dell’istruttoria il trattamento dei dati in esame, svolto dalla società per conto di Roma Capitale, è stato avviato senza che il ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento, in quanto il contratto di servizio del XX (cfr. deliberazione di Giunta Capitolina n. XX del XX) non soddisfa le caratteristiche dell’atto giuridico volto a regolamentare il rapporto con il Responsabile, non contenendo gli elementi previsti dall’art. 28 del Regolamento (cfr. spec. par. 3).

Non essendo stata individuata come responsabile del trattamento e non essendo stati indicati da parte della società specifici presupposti che abbiano legittimato il trattamento dei dati personali, si deve concludere che lo stesso è stato effettuato in assenza delle condizioni di liceità previste dal Regolamento e dal Codice, come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie (cfr. provvedimento n. 161 del 17 settembre 2020, doc. web. 9461321; provvedimento n. 281 del 17 dicembre 2020, doc. web 9525315; Linee guida “sui concetti di titolare e responsabile del trattamento nel GDPR” n. 07/2020, in particolare nota 35).

Pur prendendo favorevolmente atto che la società aveva sollecitato al titolare la propria designazione quale responsabile del trattamento (nota n. XX del XX), non può essere ritenuto sufficiente, ai fini della valutazione sulla liceità del trattamento da parte della società, la circostanza che il trattamento fosse previsto del contratto con Roma Capitale per l’erogazione di “servizi di pubblico interesse” di trasporto.

L’art. 6, par. 1, lett.  e) del Regolamento, infatti, ammette il trattamento se necessario “per l’esecuzione di un interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, legittimando, pertanto, il “titolare del trattamento” (Roma Capitale), investito da un compito di interesse pubblico, a trattare i dati per tale finalità e non altri soggetti che trattano i dati per conto del titolare senza assumere, al riguardo, il ruolo di responsabile del trattamento dei dati personali.

Pertanto, in assenza della designazione quale responsabile del trattamento dei dati personali (art. 28 del Regolamento) da parte del titolare e non essendo stati individuati dalla società altri presupposti che possano legittimare il trattamento dei dati personali degli utenti del servizio in esame, il trattamento svolto per conto e nell’interesse di Roma Capitale risulta essere stato effettuato dalla società in assenza di idonea base giuridica e quindi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento.

3.2 L’obbligo di redigere i registri delle attività di trattamento

Il Regolamento prevede, tra gli obblighi generali connessi alle attività di trattamento dei dati personali, l’obbligo, in capo a ogni titolare del trattamento e responsabile del trattamento (per le attività poste in essere per conto del titolare), la redazione dei “registri delle attività di trattamento” (art. 30 del Regolamento).

Sulla base di quanto dichiarato dalla società (verbale del XX) è stata accertata la mancata adozione dei “registri del trattamento”.

Tali strumenti, idonei a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione e/o dei trattamenti svolti per conto del titolare del trattamento, sono indispensabili per valutare la conformità dei trattamenti alla disciplina in materia di protezione dei dati personali e dunque sono preliminari rispetto all’avvio degli stessi.

Pertanto, pur prendendo atto del processo di redazione dei registri avviato successivamente all’attività ispettiva del Garante (nota n. XX del XX, si rileva la violazione dell’art. 30 del Regolamento.

3.3 La sicurezza dei dati

In base al Regolamento, i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), del Regolamento).

L’art. 32 del Regolamento pone in capo sia al titolare che al responsabile -tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio- l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

Come già precedentemente chiarito dal Garante, pur essendo tenuto, il responsabile del trattamento, a trattare i dati conformemente alle istruzioni impartite dal titolare, taluni obblighi sono posti direttamente anche a carico dello stesso responsabile (cfr. provvedimento n. 48 dell’11 febbraio 2021, doc. web n. 9562831).

In particolare, se da un lato spetta al titolare l’obbligo di istruire e indirizzare il responsabile del trattamento in merito alle misure di sicurezza da adottare, dall’altro il responsabile, in base anche alle competenze tecniche specifiche, deve manifestare autonomia propositiva nel suggerire l’adozione di misure adeguate soprattutto nel caso in cui il trattamento impatti su un numero elevato di interessati, come nel caso in esame.

Le modalità di trattamento accertate, evidenziano, invece, la mancata adozione, da parte di Roma Capitale, in qualità di titolare del trattamento (nei cui confronti è contestualmente adottato uno specifico provvedimento) e della società, di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dei dati personali in questione, in violazione degli art. 5 par. 1 lett. f) e art. 32 del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla società ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata, nonché dalle successive valutazioni, è stata accertata la non conformità dei trattamenti svolti dalla società per conto e nell’interesse di Roma Capitale aventi ad oggetto i dati raccolti attraverso i nuovi parcometri installati sul territorio.

La violazione dei dati personali, oggetto dell’istruttoria, è avvenuta nella piena vigenza delle disposizioni del Regolamento e del Codice, come modificato dal d.lg.n.101/2018, e dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, avvenuta a partire dal mese di XX.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla società a partire dal mese di XX, in quanto esso è avvenuto in assenza di una condizione di liceità, in mancanza di adempimento dell’obbligo di redigere un registro del trattamento, nonché in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento, in violazione degli artt. 5 par. 1 lett. a), 6, 30 e 32 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento)

In merito alle misure di sicurezza ad oggi poste in essere, tenuto conto delle dichiarazioni rese dalla società, si osserva il permanere di alcune criticità.

In primo luogo, l’adozione del nuovo sistema GPT quale misura organizzativa volta a precludere che il singolo ausiliario non eserciti un controllo (in senso fisico) frequente sulle stesse targhe a causa della rotazione in termini di zone/quartieri non risolve le criticità, già oggetto di contestazione, relativa all’assenza di funzionalità di registrazione dell’operato dei singoli utenti né, tantomeno, di individuazione di comportamenti anomali (tramite specifici alert).

In relazione ai tempi di conservazione, fatti salvi gli aspetti relativi alla mancata argomentazione delle motivazioni per le quali ATAC, di concerto con Roma Capitale, titolare del trattamento, ha scelto di rendere “inintellegibili” i dati delle targhe per le quali i pagamenti risalgono ad un periodo superiore ai 60 giorni, la misura di sicurezza implementata non può essere considerata idonea per le motivazioni indicate nel seguito.

La conservazione per un tempo indefinito delle impronte informatiche dei valori delle targhe calcolate mediante l’applicazione della funzione di hash MD5, citata quale “criptazione monodirezionale” per l’“anonimizzazione” dei dati, risulta essere poco affidabile in quanto consente agevolmente l’individuazione e la correlabilità, che rappresentano due dei principali rischi che incombono su tali tecniche.

Più precisamente, partendo da una targa è possibile calcolarne l’hash e cercarne tutte le occorrenze nella base dati, consentendo, quindi, la ricostruzione storica di tutti i pagamenti effettuati, e conseguentemente di tutte le soste effettuate.

Per tali motivi, tenuto conto anche della dimensione dell’insieme delle possibili targhe (composte da due lettere, tre numeri e due lettere), della semplicità computazionale dell’algoritmo utilizzato e dell’esiguità delle risorse tecnologiche necessarie per risalire ai dati in chiaro, la tecnica utilizzata non risulta idonea

Si ritiene, perciò necessario implementare misure di sicurezza tecniche che consentono la tracciabilità delle operazioni effettuate (log applicativi) dagli utenti sui dati personali che consentano ad Atac s.p.a. di verificare  ex post l’operato dei propri addetti rispetto al trattamento informatizzato di un grande volume di dati relativi a un elevato numero di interessati, dati che possono potenzialmente prestarsi a usi fraudolenti in loro danno, consentendo di rilevare lo stato di assenza da casa o la presenza in una determinata zona della città in un dato periodo di tempo. Si ritiene, altresì necessario definire, in accordo con il titolare del trattamento, i tempi di conservazione dei dati relativi alle targhe e le conseguenti eventuali misure tecniche a protezione dei dati conservati, tenendo presente che la robustezza delle misure è direttamente proporzionale all’ampiezza del periodo temporale di conservazione.

Ciò premesso, si ritiene necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di ingiungere ad Atac s.p.a, entro trenta giorni dalla notifica del presente provvedimento, di adottare, d’intesa con il titolare del trattamento:

- funzionalità di registrazione (log applicativi) dell’operato dei singoli utenti, siano essi amministratori di sistema ovvero operatori di back office e ausiliari al traffico, e funzionalità di individuazione di comportamenti anomali (tramite specifici alert) al fine di verificare ex post l’operato dei propri addetti rispetto al trattamento informatizzato di un grande volume di dati relativi a un elevato numero di interessati;

- idonee misure di sicurezza a protezione delle informazioni conservate coerentemente ai tempi di conservazione massimi prescelti.

Ai sensi dell’art. 157 del Codice, la società dovrà, inoltre, provvedere a comunicare a questa Autorità quali iniziative siano state intraprese, anche d’intesa con il titolare del trattamento, al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Al riguardo è stata considerata favorevolmente la collaborazione che la società ha manifestato al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi (note n. XX del XX, n.XX del XX) completando la predisposizione dei registri delle attività dei trattamenti e cooperando con Roma Capitale -titolare del trattamento – anche per quanto concerne il completamento di taluni obblighi posti a carico dello stesso titolare, quale il conferimento dell’informativa agli interessati. Si evidenzia, altresì che la società aveva già sollecitato a Roma Capitale la “formalizzazione della nomina quale responsabile esterno” (nota n. XX del XX), dimostrando di voler operare correttamente, secondo quanto previsto dalla disciplina vigente, in relazione a tale profilo.

Non risultano, inoltre, precedenti violazioni del Regolamento commesse dalla società e si evidenzia il comportamento non doloso della società stessa.

Di contro, è stato considerato che il trattamento dei dati personali raccolti attraverso i nuovi parcometri operativi a partire dal mese di XX, è avvenuto in mancanza di una specifica condizione di liceità, in assenza di misure di sicurezza che riguardano sia aspetti di natura tecnologica sia aspetti di natura organizzativa e ha interessato tutti i soggetti che hanno usufruito del servizio di sosta a pagamento sul territorio di Roma Capitale. Come sopra rappresentato, alla data del XX, sono già stati registrati nel sistema 8.600.000 dati relativi alle soste effettuate dai veicoli.

La violazione è stata, inoltre, portata a conoscenza dell’Autorità mediante una segnalazione.

In ragione dei suddetti elementi, valutati nel loro complesso, considerato che il trattamento dei dati è ancora in corso, valutato il numero elevato degli interessati coinvolti, nonchè l’inadeguatezza delle misure ad oggi adottate, che ha reso necessaria la prescrizione di misure correttive, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 400.000,00 (quattrocentomila)  per la violazione degli artt. 5, par. 1, lett. a) e f), 6, 30 e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Tenuto conto del numero degli interessati coinvolti nel trattamento in esame e la mancanza adozione di misure tecniche di sicurezza adeguate, si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara illecita la condotta tenuta da Atac s.p.a., per la violazione degli artt. 5, 6, 30 e 32 del Regolamento, nei termini di cui in motivazione,

ORDINA

ad Atac s.p.a, in persona del legale rappresentante pro-tempore, con sede legale in Via Prenestina, 45 - 00176 Roma - P. Iva 06341981006 ¬ - di pagare la somma di euro 400.000,00 (quattrocentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

ad Atac s.p.a.

a) di pagare la somma di euro 400.000,00 (quattrocentomila) – in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, 17 entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) ai sensi dell’art. 58, par. 1, lett. a), del Regolamento, e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese, anche d’intesa con il titolare del trattamento, al fine di dare attuazione a quanto prescritto nel punto 5) e di fornire comunque riscontro adeguatamente documentato, entro e non oltre trenta giorni dalla data di ricezione presente provvedimento,. Il mancato riscontro a una richiesta ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei