g-docweb-display Portlet

Provvedimento del 17 dicembre 2020 [9525337]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: Newsletter del 25 gennaio 2021

 

[doc. web n. 9525337]

Provvedimento del 17 dicembre 2020

Registro dei provvedimenti
n. 282 del 17 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il prof. Pasquale Stazione;

PREMESSO

1. Il sistema di prenotazione “TuPassi”.

Con provvedimento n. 81 del 7 marzo 2019, il Garante ha dichiarato illecito il trattamento di dati personali, effettuato da Roma Capitale, mediante il sistema “TuPassi”, fornito da Miropass s.r.l. (di seguito, la “Società”) e utilizzato per la prenotazione di servizi allo sportello.

Come accertato nell’ambito dell’istruttoria, il sistema consente agli utenti di prenotare servizi di sportello o fissare appuntamenti, presso soggetti pubblici e privati, utilizzando diversi canali: l’app mobile “TuPassi”, il sito web (www.tupassi.it e www.tupassi.com) oppure, direttamente presso il soggetto che eroga il servizio, mediante l’uso di totem.

Per usufruire del servizio è necessario preventivamente registrarsi sulla piattaforma della Società, creando un account per effettuare prenotazioni presso tutti i diversi titolari che utilizzano il servizio di prenotazione (pubbliche amministrazioni, strutture sanitarie pubbliche e private, professionisti). L’applicativo, che può essere impiegato anche come strumento per la gestione dell’affluenza di pubblico agli sportelli (cd. “elimina code”), consente al titolare di pianificare l’agenda degli appuntamenti, gestire l’erogazione dei servizi nei confronti dell’utenza, ottimizzare le chiamate allo sportello, estrarre report e statistiche sull’erogazione dei servizi.

All’esito dell’attività istruttoria, il Garante ha accertato la violazione degli articoli 5, 13, 14, 28 e 32 del Regolamento, da parte di Roma Capitale, prescrivendo adeguate azioni correttive volte a eliminare le criticità, tecniche e organizzative, rilevate e ha adottato, in data 17 dicembre 2020 anche il provvedimento sanzionatorio nei confronti dello stesso titolare.

Con il provvedimento del 7 marzo 2019 n. 81, il Garante ha, altresì, fornito a Miropass s.r.l. talune indicazioni sulle misure tecniche e organizzative da adottare al fine di permettere ai titolari del trattamento, sui quali ricade anzitutto l’obbligo di osservare i principi di privacy by design e by default (art. 25 e considerando 78 del Regolamento), di impiegare il sistema nel rispetto della disciplina in materia di protezione dei dati.

2. Le criticità rilevate con il provvedimento n. 81 del 7 marzo 2019.

Come verificato nell’ambito della predetta istruttoria, il sistema, con le modalità implementate da Roma Capitale, consentiva di acquisire e memorizzare sui server dell’Ente, per un ampio arco temporale, numerosi dati degli utenti relativi alle prenotazioni effettuate (canale utilizzato - app mobile, web, totem-, data e ora della prenotazione, data e ora della “chiamata” dell’utente allo sportello, data e ora dell’erogazione della prestazione) e del personale impiegato nella gestione degli appuntamenti.

In particolare, con riguardo agli addetti allo sportello, il sistema registrava e generava - senza potere escludere tale funzione - report giornalieri contenenti informazioni di dettaglio concernenti anche l’attività lavorativa (data, tipo di servizio, numero complessivo degli appuntamenti lavorati, nome e il cognome dell’addetto allo sportello, numero della postazione assegnatagli in un dato giorno, data e orario dell’appuntamento, tempo di chiamata e tempo di attesa, anche calcolato in secondi; cfr. par. 2. Provv. cit.).

L’istruttoria ha evidenziato, altresì, che:

- in nessuna delle fasi di prenotazione/erogazione del servizio, né gli utenti né i dipendenti avevano ricevuto un’informativa completa, come richiesto dall’art. 13 del Regolamento, in merito a tutte le operazioni di trattamento rese possibili dal sistema (cfr. par. 3.1. provv. cit.);

- non era stato disciplinato, ai sensi dell’art. 28 del Regolamento, il rapporto con la Società, con riferimento ai servizi di assistenza e manutenzione, considerato che tali attività “comportano anche un trattamento di dati personali” di cui l’Ente è titolare (cfr. par. 3.3. provv. cit.);

- le misure tecniche e organizzative implementate dall’Ente non sono state valutate idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi dell’art 32 del Regolamento, con riguardo alla gestione delle utenze amministrative (cd. amministratori di sistema) e a quelle degli operatori e alla sicurezza delle comunicazioni (utilizzo del protocollo http per il traffico dati tra i server, i totem, i monitor di sala e le postazioni degli operatori di sportello) (cfr. par. 3.4. provv. cit.);

- la funzionalità di reportistica, con riguardo ai dati personali dei dipendenti, come rilevato dal Garante, comporta un trattamento di dati che - “pot[endo] integrare l’evenienza di un controllo a distanza sui lavoratori da parte dell’Amministrazione”- “dovrà avvenire nell’osservanza delle condizioni di garanzia prescritte dall’articolo 4, comma 1 della legge n. 300 del 1970 (accordo sindacale o in alternativa autorizzazione pubblica),che anche per effetto del rinvio operato dall’articolo 114 del Codice, costituisce condizione di liceità del trattamento dei dati personali (art. 5 e 6 par. 1, lett. c) e 88, par. 2 del Regolamento e 114 del Codice)” (cfr. par. 3.2. provv. cit.).

Taluni dei profili di criticità sopra evidenziati sono stati originati dalle specifiche caratteristiche del sistema che, nella “versione standard” originariamente distribuita dalla Società, non consentiva “di configurare “caso per caso” la tipologia dei dati trattati e i tempi massimi di conservazione, e quindi di rispettare i principi applicabili al trattamento dei dati (art. 5, par. 1, spec. lett. a), b), c) ed e) Regolamento)”. Pertanto, con il medesimo provvedimento, sono state fornite indicazioni alla Società affinché, con particolare riguardo ai principi di liceità, minimizzazione e limitazione della conservazione dei dati, apportasse i necessari correttivi al sistema per consentire ai titolari “di impostare le diverse tipologie di dati personali che intendono raccogliere, nonché i tempi di conservazione diversificati per ciascuna tipologia di dato, in relazione alle finalità concretamente perseguite, nel rispetto dei principi di cui all’art. 5 del Regolamento”, nonché di “introdurre funzionalità che consentano di impostare i tempi di conservazione, prevedendo la cancellazione di tali dati dal sistema, una volta trascorsi i tempi indicati”, ovvero prevedendo “la possibilità di impostare tempi di cancellazione diversificati, in relazione agli esiti degli appuntamenti o di conservazione, in forma anonima (appuntamenti evasi, appuntamenti revocati, ecc.)” (cfr. par. 5 provv. cit.).

Sulla base di tali indicazioni, nel corso di un’istruttoria distinta, avviata nei confronti della Società, che ha riguardato i trattamenti da questa effettuati in qualità di titolare del trattamento dei dati personali degli utenti registrati sulla piattaforma “TuPassi (definito con provvedimento del 17 dicembre 2020), la Società ha dato incidentalmente atto di aver avviato talune iniziative finalizzate anche a migliorare il servizio, sotto il profilo della protezione dei dati.

In particolare, la Società avrebbe: previsto la possibilità per gli enti pubblici e privati che si avvalgono del sistema di rendere disponibile la propria “informativa privacy” sia sul sito web che sull'app mobile di prenotazione; rimodulato le impostazioni di taluni dei tempi di conservazione dei dati delle prenotazioni degli utenti; rimosso il modulo di generazione delle c.d. statistiche contenente i dati degli operatori e lo storico dei predetti dati, precedentemente generati e registrati sui server dei clienti; programmato interventi mirati presso i clienti per i predetti aggiornamenti del sistema; regolamentato con taluni dei propri clienti, in relazione alle modalità di erogazione del servizio  di manutenzione e assistenza del sistema svolta per loro conto, il rapporto ai sensi dell’art. 28 del Regolamento.

3.  Avvertimento nei confronti dei titolari che utilizzano il sistema “TuPassi” (art. 58, par. 2, lett. a) del Regolamento).

Tenuto conto che il sistema “TuPassi” è largamente utilizzato da numerosi soggetti pubblici e privati (enti istituzionali, strutture sanitarie, imprese) per la prenotazione di servizi all’utenza si ritiene necessario rivolgere ai medesimi e alla società fornitrice del servizio un avvertimento, ai sensi dell’art. 58, par. 2, lett. a) del Regolamento, precisando che, ove ricorrano le modalità di impiego e le criticità già accertate dal Garante con il provvedimento del 7 marzo 2019, n. 81 nei confronti di Roma Capitale e ora anche sanzionate con il provvedimento del 17 dicembre 2020, i relativi trattamenti di dati possono verosimilmente violare le disposizioni del Regolamento sopra richiamate.

I titolari del trattamento che utilizzano il sistema dovranno pertanto verificare, con riguardo ai trattamenti in corso - tenuto conto delle indicazioni del Garante contenute nel citato provvedimento e avvalendosi del supporto del Responsabile della protezione dei dati ove nominato -, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative, impartendo le necessarie istruzioni al fornitore del servizio (cfr. artt. 5, par. 2, 24, 25, 28 e 32 del Regolamento).

4. Misure correttive (art. 58, par. 2, lett. d) del Regolamento).

Si ritiene, pertanto, necessario, ingiungere a Miropass s.r.l., ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, entro 30 giorni dalla notifica del presente provvedimento, di trasmetterne copia ai soggetti pubblici e privati che attualmente utilizzano il sistema “TuPassi” con le modalità di impiego e le criticità già accertate dal Garante con il provvedimento del 7 marzo 2019, n. 81, avviando, con il coinvolgimento degli stessi, i necessari aggiornamenti al sistema per assicurare piena conformità dei trattamenti alla disciplina di protezione dei dati secondo le indicazioni del Garante.

Si ritiene, inoltre, necessario ingiungere a Miropass s.r.l., ai sensi dell’art. 58, par. 1, lett. a) del Regolamento e dell’art. 157 del Codice, di comunicare all’Autorità l’avvenuto adempimento di quanto sopra disposto, fornendo altresì l’elenco dei soggetti ai quali il provvedimento è stato trasmesso a cura della Società.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, avverte i soggetti pubblici e privati, che utilizzano il sistema di prenotazione e di gestione dell’affluenza agli sportelli “TuPassi”, e Miropass s.r.l. che eventuali trattamenti, effettuati con le modalità di impiego e le criticità già accertate dal Garante con il provvedimento del 7 marzo 2019, n. 81, possono verosimilmente violare le disposizioni del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a Miropass s.r.l,, entro trenta giorni dalla notifica del presente provvedimento, di trasmetterne copia ai soggetti pubblici e privati che attualmente utilizzano il sistema “TuPassi” con le modalità di impiego e le criticità già accertate dal Garante con il provvedimento del 7 marzo 2019, n. 81, avviando, con il coinvolgimento degli stessi, i necessari aggiornamenti al sistema per assicurare piena conformità dei trattamenti alla disciplina di protezione dei dati secondo le indicazioni del Garante;

c) ai sensi dell’art. 58, par. 1, lett. a) del Regolamento e dell’art. 157 del Codice, ingiunge a Miropass s.r.l. di comunicare all’Autorità, entro trenta giorni dalla notifica del presente provvedimento, l’avvenuto adempimento di quanto disposto al precedente punto b), fornendo all’Autorità, entro lo stesso termine, l’elenco dei soggetti ai quali il provvedimento è stato trasmesso a cura della Società.

Il mancato riscontro a una richiesta dell’Autorità è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

Roma, 17 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei