g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Roma Servizi per La Mobilita S.r.l. - 11 febbraio 2021 [9562831]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 29 MARZO 2021

 

[doc. web n. 9562831]

Ordinanza di ingiunzione nei confronti di Roma Servizi per La Mobilita S.r.l. - 11 febbraio 2021

Registro dei provvedimenti
n. 48 dell'11 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell'ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1.  Premessa.

Da alcune notizie stampa, pubblicate nel mese di dicembre 2018, e da una segnalazione presentata all’Autorità, si è appreso che i permessi per l’accesso e la sosta nelle zone a traffico limitato (“Z.T.L.”) di Roma Capitale, da esporre sui veicoli, riportano sul frontespizio un c.d. QR code, che consente a chiunque, mediante l’utilizzo di una generica applicazione per dispositivi mobili (mobile app) in grado di decodificarne il contenuto, di accedere a dati personali relativi al titolare del permesso Z.T.L. o al suo utilizzatore.

2. L’attività istruttoria.

In risposta alla richiesta di informazioni dell’Ufficio, Roma Capitale ha fornito riscontro (nota prot. n. XX dell’XX), per il tramite del responsabile del trattamento designato, Roma Servizi per la Mobilità S.r.l. (di seguito, “Roma Servizi”).

Nello specifico, il legale rappresentante di Roma Servizi ha rappresentato, tra l’altro, che:

“svolge per conto di Roma Capitale attività di assistenza e supporto nella gestione dei servizi di mobilità. In particolare e per quanto di interesse, Roma Capitale [le] ha affidato per proprio conto […] lo svolgimento delle attività inerenti al rilascio e al rinnovo dei permessi per l’accesso, la circolazione e la sosta nelle zone a traffico limitato […], la cui disciplina di base è contenuta nella deliberazione della Giunta comunale di Roma Capitale n. 183 del 16 gennaio 1996”;

“nelle attività di rilascio permessi Z.T.L. sono ricomprese quelle consistenti nella stampa e nel rilascio dei relativi contrassegni”;

“un nuovo tipo di contrassegno in formato cartaceo riportante un QR code contenente le informazioni identificative dell’autorizzazione”, nonché “il relativo modello”, sono stati adottati con determinazioni dirigenziali nn. XX e XX del XX e del XX del Dipartimento Mobilità e Trasporti di Roma Capitale, e “l’attuale formato è operativo dal 1° dicembre 2016”;

le informazioni riportate “in chiaro” (ovvero non codificate nel QR code) sul contrassegno, destinato ad essere esposto, riguardano: la tipologia di autorizzazione (es. accesso, sosta, scarico merci, etc.), la targa del veicolo, il numero del permesso e la validità temporale. Nel QR code sono invece riportate: la categoria del richiedente (es. domiciliato, distributore di merci, proprietario di posto auto, etc.), la ragione o denominazione sociale o istituzionale (in caso di veicolo appartenente a persona giuridica) o il nome e cognome (in caso di persona fisica) del titolare del permesso, nonché il nome e cognome dell’utilizzatore dello stesso;

“tutte le informazioni riportate sul lato del contrassegno destinato ad essere esposto, alcune delle quali visibili solo con QR code, risultano essere necessarie a consentire le attività su strada condotte dalle competenti autorità volte a controllare che i permessi siano usati in conformità alla DGC 183/96”.

Dagli accertamenti preliminari d’ufficio si è verificato che i QR code, riportati nei permessi Z.T.L. – dieci dei quali sono stati prodotti da Roma Servizi nel corso dell’istruttoria, con nota prot. n. XX dell’XX – codificano indirizzi web in formato URL del tipo https://permessiweb.atac.roma.it/VerifyPermit.aspx?PID=nnn&Source=xyz, che includono al loro interno due parametri: il primo (denominato “PID”), identificativo del singolo permesso, costituito da una sequenza numerica, il secondo (denominato “Source”), che indica l’eventuale validità temporanea del permesso.

Si è, pertanto, accertato che con una generica mobile app, in grado di decodificare il contenuto dei predetti QR code, chiunque avrebbe potuto collegarsi all’indirizzo web del servizio di verifica dei permessi Z.T.L., accedendo così ai dati relativi al singolo permesso, tra cui: la denominazione sociale o istituzionale (es. Questura di Roma, scuola elementare) oppure il nome e il cognome (nel caso di persona fisica) del titolare del permesso, il nome e il cognome dell’utilizzatore del permesso, la categoria del richiedente (es. artigiano, lavoratore orari notturni), nonché la targa del veicolo autorizzato.

È stato, altresì, verificato che, modificando il valore del parametro denominato “PID” (semplicemente incrementando o diminuendo l’identificativo numerico del permesso) all’interno dell’indirizzo web del servizio di verifica, era possibile visualizzare anche i dati personali relativi ad altri permessi Z.T.L., pur non avendo a disposizione il corrispondente QR code. Ciò accadeva in quanto il servizio online di verifica dei permessi Z.T.L. risultava liberamente accessibile, non essendo protetto da alcuna procedura di autenticazione.

In relazione a tali violazioni, è stata effettuata a Roma Servizi, responsabile del trattamento, la notifica, prevista dall’art. 166, comma 5, del Codice, della violazione dell’art. 32 del Regolamento, comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando l’ente a inviare scritti difensivi o documenti (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).

Con nota prot. n. XX del XX, Roma Servizi ha inviato al Garante i propri scritti difensivi in relazione alla violazione notificata, dichiarando, in particolare che:

- “nella propria qualità di responsabile del trattamento, non risulta avere ricevuto istruzioni specifiche in merito a eventuali misure di sicurezza tecniche da implementare con riguardo al QR code”;

- “per quel che attiene ai parametri della natura, dell’oggetto, del contesto e delle finalità del trattamento, essi, in assenza di più stringenti indicazioni di Roma Capitale sul punto, corrispondono a quanto necessario a consentire le attività su strada condotte dalle competenti autorità e volte a controllare che i permessi siano usati in conformità alla […]” determinazione dirigenziale XX sopracitata;

- “quanto al rischio per i diritti e le libertà delle persone fisiche, l’impatto per gli interessati derivante dall’eventuale perdita di riservatezza dei dati personali si ritiene qualificabile come basso. Perciò, l’implementazione del QR Code può essere già di per sé qualificata come una prima misura di sicurezza posta a presidio della confidenzialità degli interessati”;

-  di aver sospeso temporaneamente il servizio online di verifica dei permessi Z.T.L. mediante lettura del QR code a partire dalle ore 14:30 circa del 2 aprile 2019 e di aver intenzione di realizzare un sistema di “controllo degli accessi alla pagina pubblica di verifica per cui, in caso di chiamate web a tale pagina, opererà un filtro con reindirizzamento a una pagina di autenticazione tramite credenziali dei soggetti che necessitino di visionare i dati per ragioni di servizio”.

In data 17 maggio 2019 si è, inoltre, svolta l’audizione richiesta dalla società ai sensi dell’art. 166, comma 6, del Codice, durante la quale è stato dichiarato, tra l’altro, che le attività di sviluppo applicativo del predetto sistema di controllo degli accessi “si sono concluse il 13 maggio 2019, data a partire della quale il servizio di verifica dei permessi ZTL è stato riattivato” (cfr. anche nota prot. XX del XX), evidenziando che “per ragioni di continuità del servizio la sospensione [dello stesso] non poteva protrarsi oltre e che è stata adottata una soluzione tampone che verrà migliorata anche sulla base degli esiti delle iniziative di internal audit e delle attività di vulnerability assessment e penetration test affidate a soggetti terzi specializzati”.

La società ha inoltre dichiarato che, allo stato, l’accesso al servizio di verifica dei permessi Z.T.L. è consentito solo a soggetti autorizzati dotati di “credenziali di autenticazione personali, composte da una username ed una password” e che “l’accesso al servizio di verifica dei permessi ZTL è consentito al personale [della società] impiegato nelle attività di gestione dei permessi ZTL nonché ai soggetti preposti alle attività di controllo su strada (Polizia locale di Roma Capitale e Polizia di Stato) e di gestione del procedimento sanzionatorio (Prefettura di Roma)”.

È, altresì, emerso che le password relative alle utenze dei soggetti autorizzati “non dev[ono] soddisfare delle specifiche regole di complessità e non ha[nno] una scadenza predefinita” e che non sono stati previsti “meccanismi per il blocco automatico delle credenziali in caso di ripetuti tentativi di autenticazione fallita”. Al riguardo, la società ha rappresentato che sono “previste per il futuro delle azioni per aumentare il livello di sicurezza del sistema anche sulle base delle risultanze degli audit già effettuati dal Responsabile della Protezione dei Dati”.

3. Esito dell’attività istruttoria.

Ai sensi dell’art. 28 del Regolamento, il titolare può affidare un trattamento anche a responsabili del trattamento che presentino garanzie sufficienti con riguardo alla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (cfr. art. 29 del Codice previgente).

Pur essendo tenuto, il responsabile del trattamento, a trattare i dati conformemente alle istruzioni impartite dal titolare, taluni obblighi sono, tuttavia, posti direttamente anche a carico dello stesso responsabile.

Per quanto concerne, in particolare, la sicurezza del trattamento, l’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” e che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare […] dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati” (cfr. anche artt. 31 e ss. del Codice previgente).

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dagli enti coinvolti, nonché dalle successive valutazioni, l’Ufficio ha accertato la non conformità – con riguardo sia alla disciplina previgente (ovvero al Codice, nel testo precedente alle modifiche apportate dal d.lgs. 10 agosto 2018, n. 101), sia all’attuale disciplina in materia di protezione dei dati – del trattamento in esame, effettuato a partire dal 1° dicembre 2016 e protratto fino al mese di aprile 2019.

Si rileva preliminarmente che, come appurato dall’Autorità nell’ambito della complessiva istruttoria, i dati personali relativi ai titolari e agli utilizzatori dei permessi Z.T.L. esposti sui veicoli sono stati resi accessibili a una platea indeterminata di soggetti terzi - i quali potevano leggere i QR code riportati nei permessi attraverso una generica mobile app, disponibile su comuni smartphone in grado di decodificarne il contenuto - dando, pertanto, luogo a una “diffusione” di dati personali (cfr. art. 2-ter, comma 4, lett. b) del Codice).

È stato, inoltre, verificato che accedendo all’indirizzo web del servizio di verifica dei permessi e modificando al suo interno il valore del parametro “PID”, era possibile visualizzare i dati personali relativi a permessi Z.T.L. di soggetti a cui era stato rilasciato il permesso, pur non avendosi a disposizione il corrispondente QR code riportato nel permesso ad essi rilasciato.

Dal predetto accertamento è risultato che, a partire dal 1° dicembre 2016 (data a decorrere dalla quale è operativo, per i permessi Z.T.L, il formato cartaceo riportante un QR code e il relativo servizio online di verifica), la diffusione dei predetti dati personali è avvenuta per effetto della mancata adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, quali la diffusione non autorizzata dei dati personali e l’accesso, in modo accidentale o illecito, agli stessi.

Alla luce di quanto sopra, Roma Servizi si è resa responsabile della mancata adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, creando le premesse per il verificarsi dell’illecita diffusione dei dati personali, in violazione dell’art. 32 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal responsabile del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato, in particolare, il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato nell’atto di cessazione della condotta illecita, verificatasi successivamente al 25 maggio 2018, data in cui il Regolamento è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecito trattamento risulta essersi protratto fino al mese di aprile 2019.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato da Roma Servizi, in quanto esso è avvenuto in maniera non conforme ai principi generali del trattamento, in assenza di un’idonea base giuridica, nonché in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento, in violazione dell’art. 32 del Regolamento.

La violazione della predetta disposizione rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 4, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

Prendendo atto di quanto emerso in sede di audizione e delle misure già introdotte, tenendo conto della circostanza che il servizio di verifica dei permessi Z.T.L. era esposto su rete pubblica e dei conseguenti rischi presentati dal trattamento, che derivano in particolare dalla possibilità di accesso, in modo accidentale o illecito, ai dati personali trattati, risulta necessario ingiungere a Roma Servizi, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di modificare, entro e non oltre 30 giorni dalla data di ricezione presente provvedimento, il sistema di autenticazione informatica utilizzato nell’ambito del servizio di verifica dei permessi Z.T.L., in conformità all’art. 32 del Regolamento, adottando, d’intesa con il titolare del trattamento, le misure tecniche e organizzative di seguito indicate o altre misure analoghe, anche tenuto conto delle eventuali iniziative intraprese al riguardo nel corso del tempo, che garantiscano comunque un livello di sicurezza adeguato ai rischi presentati dal trattamento concernenti:

a) la capacità di assicurare la riservatezza dei dati trattati, facendo in modo che le password relative alle utenze dei soggetti autorizzati siano di lunghezza non inferiore a otto caratteri e siano sottoposte a un controllo automatico di qualità che impedisca l'uso di password "deboli" e che le medesime password siano modificate almeno al primo utilizzo;

b) la capacità di contrastare efficacemente attacchi informatici di tipo brute force sul sistema di autenticazione online, anche introducendo limitazioni al numero di tentativi infruttuosi di autenticazione.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, nel caso di specie, la violazione della disposizione citata è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi, si è valutato l’esteso lasso temporale in cui ha avuto luogo la violazione, nonché il fatto che la stessa abbia interessato un numero elevato di interessati. Risultano, inoltre, precedenti violazioni del Regolamento pertinenti commesse da Roma Servizi.

Di contro, si è tenuto conto che, sebbene la violazione in questione sia stata portata a conoscenza dall’Autorità attraverso diverse notizie stampa pubblicate nel mese di dicembre 2018 e mediante una successiva segnalazione, Roma Servizi si è attivata al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, introducendo alcune prime misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento, essendo stato, in ogni caso, considerato il comportamento non doloso della violazione.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 60.000 (sessantamila) per la violazione dell’art. 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva ai sensi dell’art. 83, par. 1, del medesimo Regolamento.

In relazione alle specifiche circostanze del presente caso, si ritiene, altresì, – anche in considerazione dell’elevato numero degli interessati coinvolti nella illecita diffusione, che si è protratta per più di un anno - che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato da Roma Servizi per la violazione dell’art. 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

a Roma Servizi per La Mobilita S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Via Di Vigna Murata, 60 - 00143 Roma (RM) – C.F. 10735431008 – di pagare la somma di euro 60.000 (sessantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

a) a Roma Servizi di pagare la somma di 60.000 (sessantamila) – fermo restando quanto disposto dal citato art. 166, comma 8, del Codice – secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) a Roma Servizi, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate al paragrafo 5 del presente provvedimento, entro e non oltre 30 giorni dalla data di ricezione dello stesso. L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;

c) a Roma Servizi, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento, e dell’art. 157 del Codice, di comunicare, fornendo un riscontro adeguatamente documentato, entro e non oltre 30 giorni dalla ricezione del presente provvedimento, le iniziative intraprese per conformare i trattamenti a quanto previsto nel predetto paragrafo 5. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ginevra Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei