Il TAR detta regole restrittive per i DPO persone giuridiche

Il committente non rispetta la privacy e il fornitore paga

Avete mai parcheggiato sulle “strisce blu”? Una volta era semplice e bastava far stampare dal parcometro la ricevuta che doveva essere esposta sul cruscotto dell’auto per non ricevere la multa.

Da qualche tempo, invece, per coloro che come me non hanno installato una apposita app, occorre fornire al parcometro anche il numero di targa della vettura, che non sempre conosciamo a memoria e che spesso, se andiamo di fretta, diventa motivo di nervosismo, anche perché non è detto che il tastierino funzioni bene e che noi si faccia la sequenza dei tasti nei tempi giusti e con i dati corretti.

Mi sono sempre chiesto perché si debba inserire la targa. L’unica spiegazione che sono riuscito a darmi è che il comune vuole evitare che qualcuno “ceda” la ricevuta nel caso in cui non sfrutti appieno il tempo di sosta per cui ha pagato. Un’ipotesi davvero difficile da immaginare.

Mi viene quindi da sospettare che il dato sia raccolto per fini non dichiarati e senza alcuna cautela di privacy.

Il sospetto diventa quasi una certezza dopo i recenti provvedimenti del Garante per la protezione dei dati personali che ha concluso recentemente una istruttoria conclusasi con tre ordinanze di ingiunzione che colpiscono tutta la filiera degli operatori in Roma. Nel caso di specie:

  1. il Comune di Roma, titolare dei diritti tariffari per la sosta su strada pubblica;
  2. l’azienda dei trasporti pubblici capitolini (ATAC), affidataria dal Comune della gestione delle aree di parcheggio;
  3. la società Flowbird a cui sono stati commissionati i parcometri e che si è altresì occupata della loro installazione e della implementazione della piattaforma di gestione delle informazioni, ovvero: l’ora, la data di inizio e fine sosta, l’importo pagato e la targa del veicolo.

Ebbene, né l’ATAC, né la Flowbird, che pure trattano per conto del Comune di Roma una enorme mole di dati personali (quasi 9 Mln), anche delicati, lo hanno fatto senza che in alcun modo il loro ruolo in prospettiva GDPR sia mai stato definito, rispettivamente quali responsabile e subresponsabile del trattamento e senza che questi soggetti abbiano mai adottato i relativi registri dei trattamenti.

Non solo, all’esito dell’istruttoria sono emerse altre gravissime irregolarità anche in capo al Comune, tra cui: canali di scambio dati non sicuri, assenza di log informatici di sistema e addirittura password memorizzate in chiaro!

Tale macroscopica situazione restituisce una fotografia impietosa del livello di attenzione ai temi della tutela dell’individuo da parte delle massime istituzioni locali e delle aziende municipalizzate.

Una condotta illegittima che a Roma Capitale è costata 800.000 euro, all’ATAC 400.000 euro, alla Flowbird 30.000 euro.

Nota: l’istruttoria ha evidenziato che la Flowbird aveva sollecitato più volte l’ATAC per regolarizzare la sua nomina a sub-responsabile, senza tuttavia ottenere risposta. Tale condotta non è stata ritenuta scriminante per il Garante. L’inerzia della municipalizzata e del Comune – un misto di sorda burocrazia e incompetenza – ha avuto riflessi dirette su una società privata che certamente non poteva sospendere il servizio, ma forse, in sede civile, può chiedere il risarcimento al committente.

Consulta l’infografica

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il TAR detta regole restrittive per i DPO persone giuridiche

Nel Comunicato stampa del 27 dicembre 2021, il Garante per la protezione dei dati personali ha rila...

Privacy

Il fornitore non è sempre responsabile del trattamento

I fatti Alla luce di recenti furti e atti di vandalismo realizzati recentemente in aziende di tu...

Privacy

Il fornitore non è sempre responsabile del trattamento

La C.S. Group S.p.a., società di noleggio veicoli ecologici, esponeva sul proprio sito web (sul si...

Privacy

X