L’Autorità Garante per la protezione dei dati personali ha, nei giorni scorsi, irrogato a Roma Capitale una pecuniaria di € 500.000,00 per illecito trattamento dei dati personali dei dipendenti e degli utenti, effettuato attraverso il sistema di prenotazione degli appuntamenti e di erogazione dei servizi di sportello denominato “Tu Passi”.
A seguito di una articolata istruttoria, il Garante ha accertato che il trattamento è avvenuto in violazione dei principi di liceità, correttezza e trasparenza e dell’obbligo di fornire l’informativa agli utenti e ai dipendenti. E’ emerso, inoltre, che non risultava la designazione, ai sensi dell’art. 28 GDPR, della società alla quale era affidato il trattamento dei dati per conto di Roma Capitale, nell’ambito dei servizi di assistenza e manutenzione del sistema “TuPassi”.
Il Garante, infine, ha rilevato criticità riguardanti le misure tecniche e organizzative necessarie per garantire un livello di sicurezza dei dati adeguato al rischio.
Tenuto conto dell’elevato numero di interessati (utenti e dipendenti) che hanno utilizzato dal 2015 il sistema per la prenotazione e la gestione degli appuntamenti con gli uffici dell’Ente e la durata del trattamento, la sanzione è stata quantificata in 500 mila euro. Un’ulteriore sanzione pecuniaria di € 40.000,00 è stata contestualmente irrogata dall’Autorità, con distinto provvedimento, alla società fornitrice del sistema per i trattamenti effettuati in qualità di autonomo titolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti.
Il Garante, nel comunicato stampa, sottolinea infine un aspetto di grande importanza che, tuttavia, viene spesso sottovalutato dagli enti pubblici e privati e che riguarda la scelta del data protection officer: “Si conclude così un procedimento complesso, aggravato dalle difficoltà operative derivanti dalle scelte organizzative dell’Ente, anche sotto il profilo della corretta individuazione della figura del Responsabile della protezione dei dati, soggetta ad avvicendamenti nel corso dell’istruttoria, circostanza che ha reso meno efficace la cooperazione con il Garante”.
