Il Garante per la protezione dei dati personali ha ordinato a Roma Capitale il pagamento di una sanzione di 500mila euro per illecito trattamento di dati personali di utenti e dipendenti, effettuato attraverso il sistema di prenotazione degli appuntamenti “TuPassi“.

Il provvedimento di sanzione è stato adottato al termine di una complessa attività istruttoria avviata a seguito di controlli svolti dall’Autorità sulle app utilizzate dalla pubblica amministrazione per l’erogazione dei servizi, condotta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. Attività che aveva già portato all’adozione di un provvedimento nel marzo 2019 con il quale il Garante aveva dichiarato illeciti i trattamenti effettuati da Roma Capitale tramite “TuPassi e prescritto talune misure correttive.

Criticità riscontrate

Numerose le criticità rilevate sul sistema che consente agli utenti di prenotare servizi di sportello e appuntamenti, anche nel settore sanitario, utilizzando diversi canali: app mobile, sito internet, totem posizionati presso le Pa e i professionisti che erogano le prestazioni.

I trattamenti hanno infatti interessato un’ingente mole di dati personali, anche molto delicati perché relativi a prenotazioni di vari servizi e di prestazioni sanitarie.

  1. Il sistema consentiva di acquisire e memorizzare sui server di Roma Capitale, per un lungo periodo di tempo, numerosi dati degli utenti relativi alle prenotazioni (tipo di prestazione, canale utilizzato, data e ora della prenotazione) e del personale impiegato nella gestione degli appuntamenti.
  2. Il sistema registrava e generava report giornalieri contenenti anche informazioni di dettaglio sull’attività lavorativa (data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa), senza le necessarie garanzie previste dallo Statuto dei lavoratori sul controllo a distanza.
  3. Tutte le operazioni erano effettuate senza che né gli utenti né i dipendenti avessero ricevuto, come richiesto dal Regolamento Ue, un’informativa completa sui trattamenti resi possibili dall’applicativo.
  4. Inoltre, inadeguate le misure tecniche e organizzative implementate dall’Ente.
  5. Mancanza di regolamentazione del rapporto con la società fornitrice del sistema di prenotazione.

Il ruolo del Responsabile della protezione dei dati (DPO)

L’Ente ha fornito gli elementi di valutazione richiesti dall’Ufficio, mediante numerosi invii di documentazione, talvolta non pertinente, con inevitabili riflessi sulla tempestività della definizione del procedimento, anche nella fase di verifica del corretto adempimento al provvedimento n. 81/2019. Ciò, anche per le difficoltà operative riscontrate dalla figura del Responsabile della protezione dei dati – peraltro soggetta ad avvicendamenti nel corso dell’istruttoria-, nel cooperare efficacemente e nel fungere adeguatamente da referente per l’amministrazione nonché da “punto di contatto per l’autorità per le questioni connesse al trattamento” (art. 39, par.1, lett. d) ed e) del Regolamento), per effetto delle non sempre opportune scelte organizzative dell’Ente.

Sanzione alla società fornitrice del sistema “TUPASSI”

L’Autorità ha comminato, inoltre, con separato provvedimento una sanzione di 40mila euro alla società fornitrice del sistema per i trattamenti effettuati in qualità di autonomo titolare, in particolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti, nei casi in cui tale attività comportasse il trattamento di dati personali di utenti e dipendenti.

Avvertimento nei confronti dei titolari che utilizzano il sistema “TuPassi” (art. 58, par. 2, lett. a) del Regolamento).

Tenuto conto che il sistema “TuPassi” è largamente utilizzato da numerosi soggetti pubblici e privati (enti istituzionali, strutture sanitarie, imprese) per la prenotazione di servizi all’utenza si ritiene necessario rivolgere ai medesimi e alla società fornitrice del servizio un avvertimento, ai sensi dell’art. 58, par. 2, lett. a) del Regolamento, precisando che, ove ricorrano le modalità di impiego e le criticità già accertate dal Garante con il provvedimento del 7 marzo 2019, n. 81 nei confronti di Roma Capitale e ora anche sanzionate con il provvedimento del 17 dicembre 2020, i relativi trattamenti di dati possono verosimilmente violare le disposizioni del Regolamento sopra richiamate.

I titolari del trattamento che utilizzano il sistema dovranno pertanto verificare, con riguardo ai trattamenti in corso – tenuto conto delle indicazioni del Garante contenute nel citato provvedimento e avvalendosi del supporto del Responsabile della protezione dei dati ove nominato -, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative, impartendo le necessarie istruzioni al fornitore del servizio (cfr. artt. 5, par. 2, 24, 25, 28 e 32 del Regolamento).

(Fonte Garante Privacy)