Garante Privacy sanziona il comune di Roma

Al termine di un complesso procedimento durato quasi tre anni, il Garante per la protezione dei dati personali ha ordinato al comune di Roma Capitale il pagamento di una sanzione di 500.000 euro per l’illecito trattamento dei dati personali di utenti e dipendenti attraverso il servizio TuPassi. L’autorità ha multato anche la società che sviluppa il sistema per una somma di 40.000 euro.

TuPassi: elimina code senza privacy

TuPassi è un servizio “elimina code” utilizzato in diversi comuni e inserito anche tra quelli dell’iniziativa Solidarietà Digitale. Permette di effettuare prenotazioni per appuntamento mediante computer, smartphone e totem. A seguito dei controlli effettuati dal Garante sull’uso del servizio da parte del comune di Roma Capitale sono state riscontrate diverse criticità in relazione al trattamento dei dati.

Un numero eccessivo di informazioni sensibili, molte delle quale riferite a prenotazioni per prestazioni sanitarie (tipo, data, ora), erano stati conservati sui server del comune per un lungo periodo di tempo. Il sistema generava inoltre report giornalieri sull’attività dei dipendenti (nome, data, tempo di attesa). Queste operazioni venivano effettuate senza fornire agli utenti e ai dipendenti un’informativa completa sul trattamento dei dati, come previsto dal GDPR (Regolamento generale sulla protezione dei dati).

Tra l’altro, il report sull’attività degli addetti allo sportello non rispettava le garanzie previste dallo statuto dei lavoratori sul controllo a distanza. La sanzione di 500.000 euro è stata inflitta anche perché il comune di Roma non ha implementato misure tecniche e organizzative adeguate.

Una sanzione di 40.000 euro è stata inoltre comminata alla società che sviluppa TuPassi, ovvero Miropass, in quanto non ha rispettato le norme attuali sulla raccolta, trattamento e cancellazione dei dati personali degli utenti. La stessa società ha infine ricevuto un’ingiunzione che prevede l’obbligo di apportare i necessari aggiornamenti al servizio, in modo da renderlo conforme alla disciplina sulla protezione dei dati.