Garante Privacy sanziona Roma Capitale e la Regione Lombardia
Il Garante Privacy sanziona Roma Capitale e Atac per non aver tutelato i dati degli automobilisti. Sanzionata anche la Regione Lombardia, per aver diffuso sul sito i dati personali di più di centomila studenti che avevano richiesto borse di studio statali o sussidi economici
Roma Capitale e Regione Lombardia finiscono nel mirino del Garante Privacy.
L’Autorità ha sanzionato – per una somma complessiva di oltre 1 milione di euro – Roma Capitale, la società di servizi Atac Spa e un subfornitore, per non aver tutelato i dati degli automobilisti che parcheggiano nel territorio del Comune.
La Regione Lombardia ha ricevuto, invece, una sanzione di 200.000 euro per aver diffuso sul sito web istituzionale i dati personali di più di centomila studenti, che avevano richiesto borse di studio statali o sussidi economici per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica.
Garante Privacy, il caso di Roma Capitale
La decisione in merito alla vicenda che ha coinvolto Roma Capitale è stata assunta all’esito di un’istruttoria avviata in seguito alla segnalazione di un utente che – si legge in una nota del Garante – si lamentava dei nuovi parcometri installati nel territorio comunale nel 2018.
La società Atac Spa, incaricata dal Comune anche per la gestione dei parcheggi, aveva infatti avviato un aggiornamento tecnologico dei parcometri per offrire nuovi servizi e per introdurre nuove modalità di pagamento, inserendo anche il numero di targa del veicolo.
Parte della strumentazione era stata fornita da un’altra società, la Flowbird Italia srl (ex Parkeon srl). Tutte le informazioni relative alla sosta venivano poi gestite attraverso un sistema centralizzato al quale poteva accedere, tramite un’apposita app, anche il personale incaricato di controllare il pagamento dei parcheggi.
Le irregolarità riscontrate
Come spiegato dal Garante, nel corso dell’ispezione, condotta in collaborazione con il Nucleo speciale Privacy della Guardia di finanza, sono emerse varie irregolarità.
In primo luogo il Comune di Roma, in quanto titolare del trattamento, non aveva fornito alcuna informazione sul trattamento dei dati degli automobilisti, non aveva nominato la società Atac Spa responsabile del trattamento, né fornito a quest’ultima le necessarie istruzioni su come trattare i dati raccolti. Neppure la società subfornitrice era stata incaricata formalmente o istruita su come procedere in merito al trattamento dei dati.
È poi emerso che le società non avevano predisposto il registro dei trattamenti dei dati e che il progetto era stato ideato senza rispettare i principi di protezione dei dati fin dalla progettazione, e per impostazione predefinita, come richiesto dal Regolamento europeo Gdpr. Non erano stati neppure definiti i tempi di conservazione dei dati raccolti né erano state adottate idonee misure di sicurezza.
Alla luce delle violazioni riscontrate e dell’illecito trattamento dei dati, il Garante per la privacy ha comminato una sanzione di 800.000 a Roma Capitale, di 400.000 ad Atac Spa e di 30.000 a Flowbird Italia srl.
Privacy, la vicenda della Regione Lombardia
“I dati di coloro che richiedono benefici economici vanno protetti in modo particolare per non rivelare la condizione di disagio economico e sociale delle persone interessate”.
È quanto ha ribadito il Garante privacy che, a seguito di una segnalazione, ha sanzionato la Regione Lombardia.
“Tenuto conto che per accedere al contributo occorreva essere in possesso di un valore ISEE non superiore a circa 15.000 euro e l’entità dei benefici era minima (sotto ai 1000 euro) la diffusione online aveva come effetto immediato quello di rivelare la condizione di disagio economico degli interessati”, spiega l’Autorità.
Nello specifico, come emerso dalla verifica preliminare dell’Ufficio, dall’home page del sito istituzionale della Regione era possibile consultare e scaricare l’elenco delle domande ammesse e finanziate, quello delle domande ammesse da finanziare, l’elenco dei beneficiari di borsa di studio statale e quello delle domande non ammesse.
Tali liste riportavano dati personali quali l’Id della domanda, il nominativo del richiedente, la classe dello studente, il codice e la denominazione della scuola, il numero della domanda.
A seguito dell’intervento dell’Autorità, la Regione ha prontamente rimosso dal sito istituzionale i dati personali oggetto di violazione.