g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Roma Capitale - 22 luglio 2021 [9698724]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 10 settembre 2021

 

[doc. web n. 9698724]

Ordinanza ingiunzione nei confronti di Roma Capitale - 22 luglio 2021

Registro dei provvedimenti
n. 294 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

1. Premessa

Da una segnalazione presentata all’Autorità nel mese di XX è emerso che, per il rilascio dei contrassegni attestanti il pagamento della sosta nei parcheggi di Roma Capitale, viene richiesto l’inserimento, negli appositi parcometri, della targa dell’autoveicolo per il quale si effettua il pagamento.

2. L’attività istruttoria

In relazione al caso è stata avviata un’istruttoria, nel corso della quale si è svolta anche un’attività ispettiva in collaborazione con il Nucleo speciale Privacy della Guardia di finanza.

Dall’accertamento è emerso che, con deliberazione di Giunta Capitolina n. XX del XX (all. 3 del verbale XX), sono stati affidati (note n. XX del XX e n. XX del XX) ad Atac s.p.a. i servizi complementari al trasporto pubblico di linea, relativi alla gestione dei parcheggi di scambio e della sosta tariffata su strada, di competenza di Roma Capitale, per il periodo XX (prorogato fino al XX in forza della Deliberazione di Assemblea Capitolina n. XX del XX).

Su proposta di Atac s.p.a. (nota del XX, allegata alla citata deliberazione), alcuni parcometri in gestione sono stati oggetto di adeguamento tecnologico, al fine di consentire il pagamento anche mediante carte di debito/credito, la personalizzazione del pagamento mediante l’inserimento della targa del veicolo (con la conseguente non necessità per l’utente di esporre il tagliando di pagamento) e la possibile attivazione di servizi aggiuntivi sul parcometro (es. pagamento sanzione/tributi, acquisto/rinnovo dei titoli del trasporto pubblico). Tale fase di “modernizzazione” è stata conclusa nel mese di XX, a partire dal quale i nuovi parcometri sono diventati operativi (nota n. XX del XX di Atac s.p.a., all. 4 del verbale XX).

Per quanto riguarda l’architettura funzionale del sistema, Atac s.p.a ha realizzato un sistema centralizzato che si occupa di raccogliere le informazioni (l’ora, la data di inizio e fine sosta, l’importo pagato e la targa) relative al pagamento della sosta effettuato tramite app messe a disposizione da diversi gestori (myCicero, easyPark, etc.) o parcometri “evoluti” Pay&Go (gestiti dalla società Parkeon s.r.l., ora Flowbird Italia s.r.l.) e di renderle disponibili sia agli ausiliari al traffico per le finalità di verifica dell’avvenuto pagamento della sosta (mediante l’utilizzo dell’app E-Multe-S, installata sugli smartphone aziendali), sia al personale interno della società per finalità di gestione amministrativa.

In sede di verifica ispettiva è stato accertato il coinvolgimento di Atac s.p.a. e Flowbird Italia s.r.l. nel trattamento in esame ma, in entrambi i casi, il relativo rapporto non è stato regolato ai sensi dell’art. 28 del Regolamento prima dell’inizio del trattamento.

Sul punto, infatti, sebbene Roma Capitale ha confermato di aver previsto che Atac s.p.a. operasse in qualità di responsabile del trattamento, in sede di accertamento è emerso che “non risulta[va] essere stata formulata detta nomina”. Inoltre, in merito al ruolo assunto dai soggetti terzi (Flowbird Italia s.r.l), Roma Capitale ha dichiarato che “non avendo alcun rapporto con detti soggetti […] non ha formulato alcuna nomina a responsabile nei confronti di detti soggetti” (verbale XX).

In merito all’obbligo di rendere le informazioni agli interessati in merito al trattamento sopra descritto, Roma Capitale ha dichiarato che “al momento i parcometri stessi non contengono né alcun testo né alcun rimando alla stessa, fornisco, tuttavia stampe delle modalità con le quali il display dei parcometri fornirà il rimando ai siti internet del Comune di Roma e di Atac spa sui quali sarà disponibile la specifica informativa, detta procedura è in corso di valutazione” (all. 5 del verbale XX).

Per quanto concerne il numero di interessati coinvolti, il trattamento in esame riguarda, in linea estensiva, tutti coloro che usufruiscono del servizio di sosta nel territorio del Comune di Roma Capitale (residenti e non). Nel corso delle verifiche effettuate (tabella dbo.sostainizio, verbale del XX, allegato 9) è emerso che, fino al XX, sono già stati registrati nel sistema 8.600.000 dati relativi alle soste effettuate dai veicoli.

Circa la definizione dei tempi di conservazione dei dati raccolti attraverso i citati parcometri, nonché l’adozione di idonee misure di sicurezza tecniche e organizzative, Roma Capitale ha dichiarato che non tratta “in alcun modo i dati personali degli utenti che usufruiscono del servizio di pagamento della sosta tramite i parcometri; pertanto, con specifico riguardo […] alle misure di sicurezza e ai tempi di conservazione dei dati in parola, […] la competenza è di Atac s.p.a.” (verbale XX).

Nel corso delle verifiche effettuate presso la sede di Atac s.p.a., la società ha dichiarato che (verbale del XX) “al momento nessun dato è stato cancellato; è tuttavia in fase di studio e decisione la definizione dei tempi di conservazione degli stessi”. È stato infatti accertato che, all’epoca delle verifiche (verbale XX) non erano state implementate misure per la cancellazione dei dati né adottate misure tecniche idonee alla conservazione dei dati personali, in forma anonima o pseudonima.

In particolare, accedendo al sistema della società, è stato possibile verificare che (verbale XX):

- nella tabella dbo.Multe, in cui vengono memorizzate le informazioni relative alle contravvenzioni elevate dagli ausiliari al traffico, le informazioni relative alla targa sono memorizzate in chiaro per circa 60 giorni (ovvero dal XX, data di effettuazione dell’accesso al sistema); prima di tale data, il campo “targa” non è valorizzato;

- nella tabella dbo.sostaInizio vengono memorizzati i dati relativi al periodo di validità di un pagamento (data ora inizio e fine sosta, targa veicolo, etc.) a partire dal XX; dei predetti dati solo quelli relativi agli ultimi 60 giorni presentano le informazioni relative alla targa memorizzate in chiaro; per il periodo precedente il campo “targa” non è valorizzato, mentre viene conservata l’impronta informatica ottenuta mediante l’applicazione dell’algoritmo MD5 sulla valore della “targa”, prima della sua cancellazione;

- tramite la funzione “Dettaglio Movimenti”, è tuttavia possibile visualizzare tutte le targhe relative ai pagamenti delle soste a far data da XX, memorizzate in chiaro.

Da ultimo, per quanto concerne le misure tecniche e organizzative adottate, è stato accertato (verbali XX) che:

- alcuni flussi di dati “da e verso” il sistema ATAC non si avvalgono di canali di comunicazioni sicuri. In particolare, per la verifica dell’avvenuto pagamento della sosta, gli ausiliari del traffico accedono al sistema ATAC con l’app “E-Multe-S” che comunica con il server in questione mediante l’utilizzo del protocollo http (verbale del XX), trasmettendo i dati in chiaro;

- il sistema di autenticazione non garantisce idonee misure di sicurezza relativamente al formato delle password ed alla memorizzazione delle stesse nel database. Le password utilizzate per l’autenticazione degli ausiliari sono infatti memorizzate in chiaro all’interno del data base (verbale del XX) e composte da 5 caratteri, così come confermato durante una simulazione di utilizzo dell’app in questione (verbale del XX).

- inoltre, non risulta implementato alcun meccanismo che consenta la tracciabilità delle operazioni effettuate (log applicativo) dagli utenti del sistema sui dati personali, siano essi amministratori di sistema ovvero operatori di back office e ausiliari al traffico (verbale del XX). Tale carenza esclude la possibilità di effettuare verifiche ex post sull’operato degli addetti rispetto al trattamento informatizzato di un grande volume di dati relativi a un elevato numero di interessati, dati che possono potenzialmente prestarsi a usi fraudolenti in loro danno, consentendo di rilevare lo stato di assenza da casa o la presenza in una determinata zona della città in un dato periodo di tempo.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, ha notificato a Roma Capitale, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Con la nota sopra menzionata, l’Ufficio ha rilevato che Roma Capitale ha posto in essere trattamenti di dati personali raccolti attraverso i nuovi parcometri installati sul territorio, senza aver fornito idonea informativa agli interessati, in assenza di definizione del ruolo dei soggetti esterni coinvolti nel trattamento, senza aver definito i tempi di conservazione dei dati raccolti e senza aver adottato idonee misure di sicurezza, in violazione degli artt. 5, 12, 13, 25, 28 e 32 del Regolamento.

Con le note prot. n. XX del XX e del XX Roma Capitale ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate, allegando, tra l’altro, una relazione tecnica predisposta da Atac s.p.a.. In particolare, da quest’ultima relazione è emerso che:

- “in data XX il Dipartimento Mobilità e Trasporti di Roma Capitale ha nominato Atac s.p.a. Responsabile del trattamento dei dati personali acquisiti in esecuzione del Contratto di servizio sottoscritto in data XX con Roma Capitale e approvato con Delibera XX”;

- Roma Capitale ha autorizzato, con nota n. XX del XX, Atac s.p.a a nominare “Flowbird s.p.a.” (sub) responsabile del trattamento, la cui nomina è stata formalizzata in data XX;

- in data XX Roma Capitale e Atac s.p.a. hanno pubblicato sui rispettivi siti istituzionali l’informativa sul trattamento dei dati personale in esame. Inoltre, è stata inserita, intervenendo sui parcometri, “una informativa sintetica nella schermata iniziale del parcometro evoluto, unitamente all’indicazione del link del sito Internet di ATAC contenente l’informativa completa” (cfr. nota del XX, all. 10-bis e all. 17)”.
Circa i tempi di conservazione e le misure tecniche e organizzative adottate, dalla predetta relazione tecnica è emerso che, a partire dal mese di XX, Atac s.p.a. ha implementato le seguenti misure:

- “identificazione degli utenti mediante utilizzo di password personali di lunghezza minima pari a 8 caratteri sottoposte a criptazione;

- log di sistema a livello di accessi al db attraverso la registrazione sia degli accessi avvenuti con successo che dei tentativi non riusciti; vari log di natura applicativa che consentono ad esempio la tracciatura dell’operatore (Ausiliari del traffico) che ha effettuato una specifica multa e il tracciamento dell’operatore (Ausiliari del traffico) a cui il sistema ha fornito risposta a seguito di una interrogazione della targa;

- criptazione monodirezionale delle targhe più vecchie di 60 giorni con algoritmo hash MD5;

- applicazione del certificato digitale sul sistema di back office per la gestione degli avvisi di accertamento; applicazione del certificato digitale sul canale di comunicazione fra lo smartphone dell’ausiliario e il server ATAC;

- criptazione monodirezionale delle password applicative con algoritmo di hash SHA2_256; implementazione del cambio password degli agenti con scadenza a tre mesi;

- log degli accessi al database; la conservazione anonima dei dati della funzione “Dettaglio Movimenti è stata allineata a quella della tabella dbo E-MulteS pertanto anche in questo caso, dopo 60 giorni, i dati vengono resi anonimi;

- l’utilizzo dell’applicazione E-MulteS è stato adeguato all’utilizzo del protocollo https già durante le ispezioni. Infatti dal verbale del XX si rileva che l’accesso è già stato impostato con il protocollo https;

- il sistema di autenticazione degli accessi è stato implementato, le password vengono criptate e la lunghezza è stata aumentata ad 8 caratteri;

- il sistema è stato implementato con un log che consente sia di tracciare l’Ausiliario che ha effettuato una determinata multa, sia di tracciare la risposta che viene data all’Ausiliario del traffico a seguito di una interrogazione per targa. Si conferma che gli Ausiliari possono accedere solo in lettura ed ai soli dati della giornata in corso;

- è stato implementato anche il log che consente il tracciamento degli accessi al Data Base effettuato dagli Amministratori di Sistema, sia per gli accessi con esito positivo che per i tentativi non riusciti;

- soltanto alcuni operatori di back-office della Divisione Sosta e Parcheggi accedono – per le necessarie attività di gestione delle sanzioni elevate – a tutti i dati presenti nel dbo E-MulteS (n. targa veicolo multato, data, ora, luogo, Ausiliari del Traffico Accertatore) ma vedono in chiaro i dati delle targhe relativamente agli ultimi 60 giorni. Dopo 60 giorni, il dato targa viene reso anonimo. L’accesso al dbo EmulteS degli operatori di back-office è soggetto a specifiche autorizzazioni e non è consentito agli Ausiliari del Traffico”;

- Atac ha adottato una nuova modalità di gestione della programmazione dei servizi riguardanti il controllo sul territorio effettuato dagli Ausiliari del Traffico. Attraverso una nuova piattaforma di proprietà ATAC (GTP-Sosta). Infatti, “la suddetta piattaforma è in grado di assegnare quotidianamente i percorsi da verificare sulla base di frequenze settimanali predeterminate nel rispetto degli obiettivi di qualità indicati nel Contratto di Servizio- attraverso GTP-Sosta, in modalità automatizzata, gli Ausiliari del Traffico vengono dunque assegnati ai “camminamenti” (percorsi di servizio), affinché le squadre siano composte sempre da Ausiliari del Traffico diversi per camminamenti diversi ma comunque appartenenti allo stesso turno e presidio. L’adozione di tale misura di sicurezza esclude la possibilità che gli Ausiliari del Traffico percorrano sempre lo stesso percorso loro assegnato per la verifica delle soste e così possano rilevare sempre le stesse targhe delle vetture che eventualmente dovessero parcheggiare sempre nello stesso posto/zona”.

Roma Capitale non ha fornito elementi circa le misure adeguate a garantire che siano trattati solo i dati necessari, con particolare riferimento alla definizione dei tempi di conservazione dei dati personali, né risulta aver impartito le relative istruzioni ad Atac s.p.a.

3.  Esito dell’attività istruttoria

In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici (come Roma Capitale) possono trattare i dati solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento). In tale quadro, la regolazione delle soste e dei parcheggi a pagamento rientra tra le attività istituzionali affidate agli enti locali.

Pur in presenza di un presupposto giuridico, ad ogni modo, il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza”, “limitazione della conservazione”  e “integrità e riservatezza” in base ai quali i dati sono “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato”, “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” e  “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati” (art. 5, par. 1, lett. a), e) e f), del Regolamento).

3.1 L’informativa agli interessati

Dalla documentazione in atti e come dichiarato nel corso dell’accertamento ispettivo (all. 5 del verbale XX), dalla data di attivazione del servizio in esame (XX) alla data in cui il titolare Roma Capitale ha dichiarato di aver reso l’informativa agli interessati (XX, nota del XX, all. 10-bis e all. 17) risulta accertato il mancato conferimento dell’informativa agli interessati.

Pertanto, il trattamento risulta essere stato effettuato da Roma Capitale in violazione dell’obbligo che impone al titolare del trattamento di rendere agli interessati una preventiva informativa, secondo quanto previsto dagli artt. 12 e 13 del Regolamento, anche nel rispetto del “principio di trasparenza” (art. 5, lett. a) del Regolamento).

3.2. I principi di protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita

In base al Regolamento spetta al titolare del trattamento, nel caso di specie Roma Capitale, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità” (art 25, par. 1 e 2).

Alla luce delle dichiarazioni effettuate risulta, tuttavia che Roma Capitale (verbale XX) non ha definito i tempi di conservazione dei dati personali raccolti né ha dato in tal senso precise istruzioni ad Atac s.p.a..

Non essendo state adottate “misure adeguate a garantire che siano trattati solo i dati necessari, con particolare riferimento alla definizione dei tempi di conservazione dei dati personali” risulta accertata la violazione dei principi di “limitazione della conservazione” e di “protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita” di cui agli artt. 5, par. 1, lett. e) e 25 e del Regolamento.

3.3. La mancata definizione del ruolo dei soggetti esterni coinvolti nel trattamento

Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del Regolamento).

Come già chiarito precedentemente dal Garante, il titolare, nel caso di specie Roma Capitale, è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento; cfr. anche provvedimento n. 81 del 7 marzo 2019, doc. web 9121890; provvedimento n. 160 del 17 settembre 2020, doc. web 9461168).

Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento).

Il Regolamento ha disciplinato anche gli obblighi e le altre forme di cooperazione cui è tenuto il responsabile del trattamento quando agisce per conto del titolare e l’ambito delle rispettive responsabilità (v. artt. 30, 33, par. 2 e 82 del Regolamento).

In base all’art. 24 del Regolamento tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, spetta in primo luogo proprio al titolare del trattamento mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Dette misure devono inoltre essere riesaminate e aggiornate, qualora necessario.

Nel corso dell’istruttoria è emersa la mancata definizione, da parte di Roma Capitale, del ruolo di Atac s.p.a. e Flowbird s.r.l. (ex Parkeon s.r.l.) prima dell’inizio del trattamento di dati personali, in violazione dell’art. 28 del Regolamento.

In relazione ai profili in materia di protezione dei dati personali, si rileva che le delibere di Roma Capitale (n. XX del XX e n. XX del XX), con le quali è stato affidato il servizio in esame ad Atac s.p.a, non hanno le specifiche caratteristiche dell’atto giuridico che definisce il ruolo del Responsabile, in quanto non contengono gli elementi previsti dall’art. 28 del Regolamento (cfr. spec. par. 3).

La mancata definizione del rapporto con i soggetti esterni (Atac s.p.a. e Flowbird s.r.l.) coinvolti nel trattamento, - ferme restando le valutazioni in ordine alla liceità del trattamento svolto dalle società, che saranno oggetto di autonomi procedimenti – ha comportato la violazione dell’art. 28 del Regolamento da parte di Roma Capitale.

3.4 La sicurezza dei dati

In base al Regolamento, i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), del Regolamento).

Al riguardo, l’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Come già chiarito precedentemente dal Garante, in ragione della “responsabilità generale” del titolare del trattamento (art. 5, par. 2 del Regolamento) lo stesso è tenuto a “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” (cons. 74, artt. 4, punto 7) e 24 del Regolamento) e, in tale ambito, ai fini della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, il titolare può ricorrere anche a un Responsabile per lo svolgimento di alcune attività di trattamento, al quale impartisce specifiche istruzioni, anche sotto il profilo della sicurezza (v. cons. 81 del Regolamento; cfr. provvedimento n. 160 del 17 settembre 2020 cit.; provvedimento n. 49 dell'11 febbraio 2021, doc. web 9562852), vigilando sull’operato dello stesso.

Le modalità di trattamento accertate evidenziano la mancata adozione da parte di Roma Capitale di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, né risultano, agli atti, essere state conferite apposite istruzioni, in tal senso, al responsabile del trattamento, con conseguente violazione dell’art. 32 del Regolamento.

4.  Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese da Roma Capitale, quale titolare del trattamento, negli scritti difensivi inviati al Garante ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dal titolare del trattamento, nonché dalle successive valutazioni, è stata accertata la non conformità dei trattamenti svolti da Roma Capitale aventi ad oggetto i dati raccolti attraverso i nuovi parcometri installati sul territorio.

La violazione dei dati personali, oggetto dell’istruttoria, è avvenuta nella piena vigenza delle disposizioni del Regolamento e del Codice, come modificato dal d.lg.n.101/2018, e dunque, al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione, avvenuta a partire dal mese di XX.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato da Roma Capitale, in quanto esso è avvenuto in maniera non conforme ai principi generali del trattamento, in assenza di idonea informativa e nomina dei responsabili del trattamento, nonché in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento, in violazione degli artt. 5, 12, 13, 25, 28 e 32 del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento)

Per quanto concerne le misure di sicurezza ad oggi poste in essere, tenuto conto delle dichiarazioni rese dal titolare del trattamento, si osserva il permanere di alcune criticità.

In primo luogo, l’adozione del nuovo sistema GPT quale misura organizzativa volta a precludere che il singolo ausiliario non eserciti un controllo (in senso fisico) frequente sulle stesse targhe a causa della rotazione in termini di zone/quartieri non risolve le criticità, già oggetto di contestazione, relativa all’assenza di funzionalità di registrazione dell’operato dei singoli utenti né, tantomeno, di individuazione di comportamenti anomali (tramite specifici alert).

In relazione ai tempi di conservazione, dalla documentazione in atti risulta che la scelta della “criptazione monodirezionale delle targhe più vecchie di 60 giorni con algoritmo hash MD5” sia stata fatta autonomamente dal responsabile del trattamento, Atac s.p.a., che non ha ricevuto specifiche istruzioni, al riguardo, da parte del Comune di Roma. Non si comprendono, le motivazioni per le quali Atac s.p.a ha scelto di rendere “inintellegibili” i dati delle targhe per le quali i pagamenti risalgono ad un periodo superiore ai 60 giorni, e in ogni caso, la misura di sicurezza implementata non può essere considerata idonea per le motivazioni indicate nel seguito.

La conservazione per un tempo indefinito delle impronte informatiche dei valori delle targhe calcolate mediante l’applicazione della funzione di hash MD5, citata quale “criptazione monodirezionale” per l’“anonimizzazione” dei dati, risulta essere poco affidabile in quanto consente agevolmente l’individuazione e la correlabilità, che rappresentano due dei principali rischi che incombono su tali tecniche.

Più precisamente, partendo da una targa è possibile calcolarne l’hash e cercarne tutte le occorrenze nella base dati, consentendo, quindi, la ricostruzione storica di tutti i pagamenti effettuati, e conseguentemente di tutte le soste effettuate.

Per tali motivi, tenuto conto anche della dimensione dell’insieme delle possibili targhe (composte da due lettere, tre numeri e due lettere), della semplicità computazionale dell’algoritmo utilizzato e dell’esiguità delle risorse tecnologiche necessarie per risalire ai dati in chiaro, la tecnica utilizzata non risulta idonea

Si ritiene, perciò necessario implementare le misure di sicurezza tecniche -dando precise e dettagliate istruzioni in tal senso al responsabile del trattamento, Atac s.p.a.- che consentono la tracciabilità delle operazioni effettuate (log applicativi) dagli utenti sui dati personali al fine di verificare  ex post l’operato dei propri addetti rispetto al trattamento informatizzato di un grande volume di dati relativi a un elevato numero di interessati dati che possono potenzialmente prestarsi a usi fraudolenti in loro danno, consentendo di rilevare lo stato di assenza da casa o la presenza in una determinata zona della città in un dato periodo di tempo. Si ritiene, altresì necessario definire i tempi di conservazione dei dati relativi alle targhe e le conseguenti eventuali misure tecniche a protezione dei dati conservati, tenendo presente che la robustezza delle misure è direttamente proporzionale all’ampiezza del periodo temporale di conservazione.

Ciò premesso, si ritiene necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di ingiungere a Roma Capitale, entro trenta giorni dalla notifica del presente provvedimento, di adottare, d’intesa con il responsabile del trattamento:

- funzionalità di registrazione (log applicativi) dell’operato dei singoli utenti, siano essi amministratori di sistema ovvero operatori di back office e ausiliari al traffico, e funzionalità di individuazione di comportamenti anomali (tramite specifici alert) al fine di verificare ex post l’operato dei propri addetti rispetto al trattamento informatizzato di un grande volume di dati relativi a un elevato numero di interessati;

- idonee misure di sicurezza a protezione delle informazioni conservate coerentemente ai tempi di conservazione massimi prescelti.

Ai sensi dell’art. 157 del Codice, Roma Capitale dovrà, inoltre, provvedere a comunicare a questa Autorità quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie, la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento dei dati personali raccolti attraverso i nuovi parcometri, operativi a partire dal mese di XX, è ancora in corso e ha interessato potenzialmente tutti i soggetti che usufruiscono del servizio di sosta a pagamento sul territorio comunale. Alla data del XX, sono già stati registrati nel sistema realizzato da Atac s.p.a., per conto di Roma Capitale, 8.600.000 dati relativi alle soste effettuate dai veicoli.

Tale trattamento è avvenuto in mancanza di idonea informativa, in violazione del principio di “liceità, correttezza e trasparenza” di cui all’art. 5, lett. a), 12 e 13 del Regolamento, in mancanza di individuazione dei termini massimi di conservazione dei dati raccolti, in violazione dei principi di “limitazione della conservazione” e di “protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita” di cui agli artt. 5, lett. e) e 25 del Regolamento, in assenza di  definizione del ruolo, quali “responsabili del trattamento”, dei soggetti coinvolti nello stesso in violazione dell’art. 28 del Regolamento e in mancanza di misure tecniche e organizzative adeguate in violazione del principio di “integrità e riservatezza” di cui all’art. 5 lett. f) e 32 del Regolamento.

Si è tenuto conto della tipologia di dati personali oggetto di trattamento e del fatto che Roma Capitale ha adottato alcune misure al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, conferendo l’informativa agli interessati e provvedendo alla definizione del ruolo svolto da Atac s.p.a. e Flowbird s.r.l. nel trattamento in esame; e si è preso altresì atto del comportamento non doloso del titolare del trattamento.

Di contro, tuttavia, si è tenuto conto della “responsabilità generale” del trattamento, posta in capo a Roma Capitale, quale titolare del trattamento, che può ricorrere anche a un responsabile per lo svolgimento di alcune attività di trattamento, purché gli impartisca specifiche istruzioni, anche sotto il profilo della sicurezza. Al riguardo, invece, è emersa l’insufficienza o non adeguatezza di alcune misure tecniche e organizzative adottate nel corso del procedimento, che ha comportato la necessità di prescrivere le misure correttive di cui al paragrafo 5.

È stato considerato che la violazione è stata portata a conoscenza dell’Autorità mediante una segnalazione. Si è tenuto conto, altresì, delle numerose violazioni rilevate dall’Autorità nei confronti di Roma Capitale nell’ambito di precedenti procedimenti (provvedimenti n. XX del XX, n. XX del XX, n. XX del XX e n. XX del XX) aventi ad oggetto anche la violazione delle medesime disposizioni del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del Regolamento l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 800.000,00 (ottocentomila) per la violazione degli artt. 5, 12,13, 25, 28 e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo Regolamento.

Tenuto conto dell’elevato numero degli interessati coinvolti nel trattamento in esame e della mancanza adozione di misure tecniche di sicurezza adeguate, si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato da Roma Capitale per la violazione degli artt. 5, 12, 13, 25, 28 e 32 del Regolamento, nei termini di cui in motivazione,

ORDINA

a Roma Capitale, in persona del legale rappresentante pro-tempore, con sede legale in Piazza del Campidoglio, n. 1, Roma – C.F. 02438750586 – di pagare la somma di euro 800.000,00 (ottocentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni degli artt. 5, 12, 13, 25, 28 e 32 del Regolamento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

a Roma Capitale

a) di pagare la somma di euro 800.000,00 (ottocentomila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate al paragrafo 5 del presente provvedimento, entro e non oltre 30 giorni dalla data di ricezione dello stesso. L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;

c) ai sensi dell’art. 58, par. 1, lett. a), del Regolamento, e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel predetto par. 5, e di fornire comunque riscontro adeguatamente documentato, entro e non oltre 30 giorni dalla ricezione del presente provvedimento. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei