Il Garante privacy sanziona Roma Capitale per l’illegittimità dei trattamenti compiuti tramite il sistema “Tu passi”.
Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Roma Capitale – 17 dicembre 2020
Premessa
il garante per la protezione dei dati personali, nel marzo del 2019, aveva adottato un provvedimento nei confronti di Roma capitale con il quale aveva dichiarato l’illecita del trattamento dei dati personali compiuta da quest’ultima attraverso l’uso del sistema “Tu passi”.
In particolare, il garante aveva effettuato una complessa attività istruttoria all’esito della quale era emerso che il sistema utilizzato fin dal 2015 da Roma capitale per effettuare la prenotazione degli appuntamenti nonché per erogare i servizi di sportello, risultava in contrasto con i principi di liceità, correttezza e trasparenza del trattamento e con l’obbligo gravante sul titolare di fornire agli utenti e ai dipendenti l’informativa prevista dalla codice della privacy e dal regolamento europeo per la protezione dei dati personali.
In secondo luogo, era emerso che il trattamento dati effettuato attraverso il richiamato servizio “Tu passi”, era in contrasto con l’obbligo di regolamentare i trattamenti di dati personali affidati alla società che gestiva il servizio di assistenza e manutenzione del sistema “Tu passi”.
Infine, il garante aveva accertato la violazione dell’obbligo da parte di Roma capitale di adottare misure tecniche ed organizzative idonee a garantire un livello di sicurezza dei dati, adeguato rispetto al rischio connaturato al trattamento effettuato attraverso il sistema “Tu passi”, tenendo conto della natura, dell’oggetto, del contesto, delle finalità e dei rischi legati al trattamento medesimo, rispetto dei diritti e alle libertà delle persone fisiche coinvolte.
In considerazione di tali violazioni, il garante per la protezione dei dati personali, nell’accertare le suddette violazioni, aveva altresì indicato a Roma capitale le azioni correttive da adottare al fine di eliminare le criticità che l’ autorità aveva riscontrato, ed aveva altresì concesso a Roma capitale il termine di 90 giorni per adeguarsi alle indicazioni fornite.
Durante l’ istruttoria, l’ ente pubblico aveva inviato al garante i propri scritti difensivi in ordine alle contestazioni sollevate dall’autorità ed aveva previsto una serie di interventi volti ad adempiere alle prescrizioni indicate dal garante, fornendo al contempo a quest’ultimo la dimostrazione documentata dei propri adempimenti.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 30,40 € Acquista
su www.maggiolieditore.it
La decisione del Garante
Con il provvedimento oggetto di esame, il garante ha concluso l’iter sanzionatorio avviato con il procedimento del 2019 nei confronti di Roma capitale, sanzionando quest’ultima, per le violazioni già accertate, con l’ ingiunzione al pagamento di un importo pari ad euro 500.000.
In particolare, il garante ha confermato le proprie valutazioni effettuate nel 2019, all’ inizio del procedimento, in ordine al fatto che il trattamento dei dati personali, degli utenti e dei dipendenti di Roma capitale, effettuato dall’ente pubblico attraverso il sistema “Tu passi” per la prenotazione e l’ erogazione dei servizi allo sportello, risulta illecito per violazione dei principi in materia di protezione dei dati personali.
Preliminarmente, il garante ha chiarito che, nonostante i fatti di cui si discute fossero iniziati nel 2015, (momento in cui era stato adottato il sistema “Tu passi”), la normativa applicabile al caso di specie, dal punto di vista temporale, è comunque quella di cui al Regolamento europeo per la protezione dei dati personali (GDPR). Infatti, sostiene il garante, il principio di legalità vigente nel nostro ordinamento, secondo cui le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in essere considerati, impone di applicare la normativa vigente nel momento in cui la violazione stata commessa. Tuttavia, precisa il garante, nel caso oggetto di esame, l’ illecito contestato a Roma capitale ha carattere permanente e pertanto il momento di commissione della violazione deve essere individuato in quello in cui la condotta illecita è cessata. Ebbene, tale condotta è cessata soltanto dopo che Roma capitale ha attuato, nel 2019, il provvedimento che era stato emesso dal garante privacy. Ciò significa, che, in tale momento, era pienamente vigente il regolamento europeo per la protezione dei dati personali.
In considerazione di quanto sopra, il garante ha ritenuto applicabile la sanzione amministrativa pecuniaria prevista, appunto, dal regolamento europeo; mentre, non ha ritenuto applicabile una misura correttiva, in considerazione del fatto che la condotta illecita era ormai cessata poiché Roma capitale aveva adottato le misure necessarie indicate dallo stesso garante privacy nel proprio provvedimento del 2019. Conseguentemente, ha chiarito il Garante, il trattamento risulta, allo stato, già conforme alla disciplina in materia di protezione dei dati personali.
In conclusione, il garante è passato a valutare l’ammontare della sanzione amministrativa pecuniaria da infliggere all’ente pubblico.
A tal proposito, da un lato, il garante ha preso in considerazione l’ ingente numero dei soggetti interessati dal trattamento (in particolare, gli utenti e i dipendenti di Roma capitale), i quali hanno utilizzato nel tempo il sistema di prenotazione e gestione degli appuntamenti, nonché la durata del complessivo trattamento illecito, iniziato nel 2015 e concluso nel 2019 (dopo l’adozione delle misure correttive da parte di Roma capitale). Inoltre, il garante ha valutato il comportamento tenuto da Roma capitale durante l’istruttoria, avendo la stessa fornito gli elementi richiesti dall’ufficio attraverso l’invio di numerosa documentazione anche non pertinente rispetto alle richieste dell’autorità, rendendo così più lunga la definizione del procedimento.
Dall’altro lato, tuttavia, il garante ha altresì tenuto in considerazione il fatto che alcune delle violazioni contestate dipendevano dalle specifiche caratteristiche che aveva il sistema che era stato impiegato da Roma capitale per il servizio in questione, il quale, per come era stato progettato dalla società fornitrice del servizio, non permetteva di rispettare alcuni dei principi violati nel caso di specie. In secondo luogo, il garante ha tenuto in considerazione l’impegno che l’ente pubblico ha profuso per conformare alla disciplina in materia di protezione dei dati personali i trattamenti oggetto di contestazione da parte dell’autorità.
Nel bilanciamento di di tutti gli aspetti di cui sopra, il garante è quindi pervenuto alla decisione di sanzionare Roma capitale con l’ingiunzione a carico della stessa di pagare l’importo di euro 500.000.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggioli Editore
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 30,40 € Acquista
su www.maggiolieditore.it
Diventa autore di Diritto.it
Scopri di più!
Ti potrebbe interessare anche
Il parere del Garante sullo schema di regolamento che disciplina il Sistema Informativo Trapianti (SIT) e il Registro nazionale dei donatori di cellule riproduttive
di Muia’ Pier Paolo
28 ottobre 2019
La violazione della privacy e le sanzioni previste dalla normativa comunitaria
di Redazione
20 settembre 2019
Il parere del Garante Privacy sullo schema predisposto da AgID per l’erogazione del servizio pubblico wi-fi free
di Muia’ Pier Paolo
16 dicembre 2020
L’uso di braccialetti elettronici sui dipendenti è rispettoso dei principi di necessità e proporzionalità se la geo-localizzazione viene effettuata soltanto una volta a settimana e non riguarda tutti i turni di servizio
di Muia’ Pier Paolo
19 aprile 2019
The post Il Garante privacy sanziona Roma Capitale per l’illegittimità dei trattamenti compiuti tramite il sistema “Tu passi”. appeared first on Diritto.it.
Source: Diritto.it
