Il Garante privacy sanziona Roma Capitale per l’illegittimità dei trattamenti compiuti tramite il sistema “Tu passi”.

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Roma Capitale – 17 dicembre 2020

Premessa

il garante per la protezione dei dati personali, nel marzo del 2019, aveva adottato un provvedimento nei confronti di Roma capitale con il quale aveva dichiarato l’illecita del trattamento dei dati personali compiuta da quest’ultima attraverso l’uso del sistema “Tu passi”.

In particolare, il garante aveva effettuato una complessa attività istruttoria all’esito della quale era emerso che il sistema utilizzato fin dal 2015 da Roma capitale per effettuare la prenotazione degli appuntamenti nonché per erogare i servizi di sportello, risultava in contrasto con i principi di liceità, correttezza e trasparenza del trattamento e con l’obbligo gravante sul titolare di fornire agli utenti e ai dipendenti l’informativa prevista dalla codice della privacy e dal regolamento europeo per la protezione dei dati personali.

In secondo luogo, era emerso che il trattamento dati effettuato attraverso il richiamato servizio “Tu passi”, era in contrasto con l’obbligo di regolamentare i trattamenti di dati personali affidati alla società che gestiva il servizio di assistenza e manutenzione del sistema “Tu passi”.

Infine, il garante aveva accertato la violazione dell’obbligo da parte di Roma capitale di adottare misure tecniche ed organizzative idonee a garantire un livello di sicurezza dei dati, adeguato rispetto al rischio connaturato al trattamento effettuato attraverso il sistema “Tu passi”, tenendo conto della natura, dell’oggetto, del contesto, delle finalità e dei rischi legati al trattamento medesimo, rispetto dei diritti e alle libertà delle persone fisiche coinvolte.

In considerazione di tali violazioni, il garante per la protezione dei dati personali, nell’accertare le suddette violazioni, aveva altresì indicato a Roma capitale le azioni correttive da adottare al fine di eliminare le criticità che l’ autorità aveva riscontrato, ed aveva altresì concesso a Roma capitale il termine di 90 giorni per adeguarsi alle indicazioni fornite.

Durante l’ istruttoria, l’ ente pubblico aveva inviato al garante i propri scritti difensivi in ordine alle contestazioni sollevate dall’autorità ed aveva previsto una serie di interventi volti ad adempiere alle prescrizioni indicate dal garante, fornendo al contempo a quest’ultimo la dimostrazione documentata dei propri adempimenti.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



La decisione del Garante

Con il provvedimento oggetto di esame, il garante ha concluso l’iter sanzionatorio avviato con il procedimento del 2019 nei confronti di Roma capitale, sanzionando quest’ultima, per le violazioni già accertate, con l’ ingiunzione al pagamento di un importo pari ad euro 500.000.

In particolare, il garante ha confermato le proprie valutazioni effettuate nel 2019, all’ inizio del procedimento, in ordine al fatto che il trattamento dei dati personali, degli utenti e dei dipendenti di Roma capitale, effettuato dall’ente pubblico attraverso il sistema “Tu passi” per la prenotazione e l’ erogazione dei servizi allo sportello, risulta illecito per violazione dei principi in materia di protezione dei dati personali.

Preliminarmente, il garante ha chiarito che, nonostante i fatti di cui si discute fossero iniziati nel 2015, (momento in cui era stato adottato il sistema “Tu passi”), la normativa applicabile al caso di specie, dal punto di vista temporale, è comunque quella di cui al Regolamento europeo per la protezione dei dati personali (GDPR). Infatti, sostiene il garante, il principio di legalità vigente nel nostro ordinamento, secondo cui le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in essere considerati, impone di applicare la normativa vigente nel momento in cui la violazione stata commessa. Tuttavia, precisa il garante, nel caso oggetto di esame, l’ illecito contestato a Roma capitale ha carattere permanente e pertanto il momento di commissione della violazione deve essere individuato in quello in cui la condotta illecita è cessata. Ebbene, tale condotta è cessata soltanto dopo che Roma capitale ha attuato, nel 2019, il provvedimento che era stato emesso dal garante privacy. Ciò significa, che, in tale momento, era pienamente vigente il regolamento europeo per la protezione dei dati personali.

In considerazione di quanto sopra, il garante ha ritenuto applicabile la sanzione amministrativa pecuniaria prevista, appunto, dal regolamento europeo; mentre, non ha ritenuto applicabile una misura correttiva, in considerazione del fatto che la condotta illecita era ormai cessata poiché Roma capitale aveva adottato le misure necessarie indicate dallo stesso garante privacy nel proprio provvedimento del 2019. Conseguentemente, ha chiarito il Garante, il trattamento risulta, allo stato, già conforme alla disciplina in materia di protezione dei dati personali.

In conclusione, il garante è passato a valutare l’ammontare della sanzione amministrativa pecuniaria da infliggere all’ente pubblico.

A tal proposito, da un lato, il garante ha preso in considerazione l’ ingente numero dei soggetti interessati dal trattamento (in particolare, gli utenti e i dipendenti di Roma capitale), i quali hanno utilizzato nel tempo il sistema di prenotazione e gestione degli appuntamenti, nonché la durata del complessivo trattamento illecito, iniziato nel 2015 e concluso nel 2019 (dopo l’adozione delle misure correttive da parte di Roma capitale). Inoltre, il garante ha valutato il comportamento tenuto da Roma capitale durante l’istruttoria, avendo la stessa fornito gli elementi richiesti dall’ufficio attraverso l’invio di numerosa documentazione anche non pertinente rispetto alle richieste dell’autorità, rendendo così più lunga la definizione del procedimento.

Dall’altro lato, tuttavia, il garante ha altresì tenuto in considerazione il fatto che alcune delle violazioni contestate dipendevano dalle specifiche caratteristiche che aveva il sistema che era stato impiegato da Roma capitale per il servizio in questione, il quale, per come era stato progettato dalla società fornitrice del servizio, non permetteva di rispettare alcuni dei principi violati nel caso di specie. In secondo luogo, il garante ha tenuto in considerazione l’impegno che l’ente pubblico ha profuso per conformare alla disciplina in materia di protezione dei dati personali i trattamenti oggetto di contestazione da parte dell’autorità.

Nel bilanciamento di di tutti gli aspetti di cui sopra, il garante è quindi pervenuto alla decisione di sanzionare Roma capitale con l’ingiunzione a carico della stessa di pagare l’importo di euro 500.000.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!