Il “caso” del servizio TuPassi di Roma Capitale è l’emblema di come la PA si manifesti poco incline al cambiamento quando (ma ovviamente non solo) si tratta di trattamento dei dati personali.
Le evidenti carenze tecniche e organizzative, espressioni di poca sensibilità da parte delle pubbliche amministrazioni, oltre a essere costate all’amministrazione capitolina una sanzione da 500 mila euro comminata dal garante un connubio che rende vulnerabili i diritti fondamentali di tutti i cittadini.
TuPassi e come funziona
Parliamo di una piattaforma che consente agli utenti di prenotare servizi di sportello e appuntamenti, anche nel settore sanitario, utilizzando diversi canali, come l’app per dispositivi mobili, il sito internet o appositi totem posizionati direttamente presso l’ente di riferimento.
Al fine di erogare i servizi, la piattaforma avrebbe raccolto ed elaborato sia i dati personali inseriti dall’utente che i dati personali del dipendente comunale che risponde alle varie richieste.
Il sistema consentiva di acquisire, memorizzare e utilizzare, attraverso le strutture informatiche di Roma Capitale e per un lungo periodo di tempo, numerosi dati degli utenti afferenti alle loro specifiche richieste, come la tipologia di prestazione, il canale utilizzato, nonché la data e l’ora della prenotazione, dunque anche dati particolari, avendo riguardo delle prenotazioni per motivi sanitari.
Il provvedimento di sanzione è stato adottato al termine di un’intensa istruttoria – coadiuvata dal prezioso intervento del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza – avviata a seguito di controlli a campione svolti dall’Autorità sulle app utilizzate dalla pubblica amministrazione per l’erogazione dei servizi. Le risultanze di detta attività avevano già portato all’adozione di un provvedimento nel marzo 2019 con il quale il Garante aveva dichiarato illeciti i trattamenti effettuati da Roma Capitale tramite la piattaforma e prescritto talune misure correttive.
Gli aspetti critici
In particolare, con il primo provvedimento l’Autorità accertava come il trattamento dei dati fosse avvenuto senza che gli utenti e i dipendenti avessero ricevuto, come richiesto dal GDPR agli articoli 13 e 14, un’informativa completa. In mancanza di tale adempimento, il trattamento risultava quindi in contrasto con gli stessi principi di liceità, correttezza e trasparenza (artt. 5, par. 1, lett. a).
Inoltre, il Garante ha ritenuto inadeguate le misure tecniche e organizzative implementate dall’Ente. L’Authority ha ricordato come l’articolo 25 del Regolamento abbia introdotto i principi di “privacy by design” e “privacy by default”, imponendo agli enti e alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.
L’approccio avrebbe dovuto essere “risk based”, in base al quale “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
L’obbligo di valutare e adottare le misure tecniche e organizzative più idonee a garantire la tutela degli interessati è, come si legge, ascritto non solo in capo al titolare del trattamento, ma anche al responsabile nominato: l’assessment su tale implementazione riguarda quindi anche i terzi fornitori a cui il titolare del trattamento ha subappaltato alcune delle operazioni di raccolta ed elaborazione.
Una verifica, questa, che non può essere circoscritta ai principi di progettazione sopra citati ma che comporta l’ampliamento dell’attività ispettiva dell’authority sino ai requisiti di cui all’art. 28 del GDPR, che come noto disciplina gli elementi tipici che l’atto di designazione del responsabile deve possedere.
In questo caso, Roma Capitale e la società fornitrice del sistema di prenotazione non avevano nemmeno regolato il loro rapporto al fine di giungere a una corretta individuazione dei ruoli e dei conseguenti obblighi.
Anzi: il Garante con separato provvedimento, ha comminato una sanzione di € 40.000,00 a Miropass, la fornitrice, rea di aver illegittimamente trattato, in qualità di titolare autonomo, i dati in violazione degli artt. degli artt. 5, par. 1, lett. a) ed e), 6 e 9, nonché 28 del Regolamento Europeo.
I controlli a distanza
Il Garante ha bocciato anche la funzione che consente di produrre report sull’attività degli addetti allo sportello, introdotta senza le necessarie garanzie previste dal quadro normativo in materia di controllo sull’attività lavorativa.
L’art. 4. Della Legge 300/1970 (e s.m.i.), più comunemente noto come Statuto dei lavoratori, con la modifica del 2015 ha introdotto la possibilità d’istallare – previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali – impianti audiovisivi e altri strumenti per il controllo a distanza dell’attività dei lavoratori, da impiegarsi esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
La norma prevede quindi che si possa dare luogo al controllo a distanza dell’attività resa dal lavoratore ma a condizione che vi sia un previo accordo con le rappresentanze sindacali, e che sia data al lavoratore adeguata informativa circa le modalità d’uso degli strumenti e di effettuazione dei controlli.
Cosa bisogna imparare
In occasione dell’irrogazione del primo provvedimento sono state prescritte “adeguate azioni correttive volte a eliminare le criticità tecniche e organizzative (v. par. da 3.1 a 4)”, con l’obbligo per la pubblica amministrazione di fornire al riguardo un riscontro adeguatamente documentato, entro 90 giorni dalla data di ricezione.
Ebbene, il Garante, con il provvedimento del 2021, considerato che il titolare non ha mai, neppure con gli scritti difensivi consentiti, contestato i profili di merito accertati con il provvedimento del 7 marzo 2019, ha confermato l’illiceità del trattamento di dati personali, di utenti e dipendenti, effettuato dall’Ente mediante il sistema.
Con l’occasione, l’Autorità ha precisato che sebbene il trattamento sia stato intrapreso dall’Ente nel periodo precedente all’entrata in vigore del Regolamento, ai fini della individuazione della normativa applicabile, occorre tenere presente la natura permanente dell’illecito contestato, con conseguente applicazione della normativa al momento dell’atto di cessazione.
Si è concluso un procedimento molto complesso, spiega il Garante, “aggravato dalle difficoltà operative derivanti dalle scelte organizzative dell’Ente, anche sotto il profilo della corretta individuazione della figura del Responsabile della protezione dei dati, soggetta ad avvicendamenti nel corso dell’istruttoria, circostanza che ha reso meno efficace la cooperazione”.
Conclusioni
In un periodo storico segnato inevitabilmente dall’evoluzione digitale, si richiede una costante attenzione da parte dei Titolari e dei Responsabili, anche in ambito pubblico: soltanto dimostrando di aver adottato concretamente tutte le misure idonee al caso di specie e volte alla riduzione dei rischi inerenti al trattamento dei dati, si adempierà agli obblighi dettati dalla normativa. Il tema è rilevante e strategico, non solo nell’ottica della tanto agognata “accountability”, visti e considerati, da un lato, il tangibile distacco dei cittadini dalla cosa pubblica in ragione delle oscillazioni della politica, dall’altro, il necessario richiamo alla coesione nazionale in un periodo emergenziale di cui si stenta a intravedere la conclusione.
