trattamento dati

Multa a Roma Capitale per TuPassi: la lezione che la PA non vuole imparare

Il Garante privacy ha ordinato a Roma Capitale il pagamento di una multa di 500mila euro per illecito trattamento di dati personali tramite la piattaforma di prenotazione “TuPassi”. Analizziamo le doglianze sollevate dall’Autorità e le misure che dovranno essere adottate per evitare ulteriori nuovi casi

15 Feb 2021
Chiara Benvenuto

Associate Dipartimento Data Protection Rödl & Partner

Niccolò Olivetti

Praticante Avvocato presso Studio Previti

tupassi

Il “caso” del servizio TuPassi di Roma Capitale è l’emblema di come la PA si manifesti poco incline al cambiamento quando (ma ovviamente non solo) si tratta di trattamento dei dati personali.

Le evidenti carenze tecniche e organizzative, espressioni di poca sensibilità da parte delle pubbliche amministrazioni, oltre a essere costate all’amministrazione capitolina una sanzione da 500 mila euro comminata dal garante un connubio che rende vulnerabili i diritti fondamentali di tutti i cittadini.

TuPassi e come funziona

Parliamo di una piattaforma che consente agli utenti di prenotare servizi di sportello e appuntamenti, anche nel settore sanitario, utilizzando diversi canali, come l’app per dispositivi mobili, il sito internet o appositi totem posizionati direttamente presso l’ente di riferimento.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Al fine di erogare i servizi, la piattaforma avrebbe raccolto ed elaborato sia i dati personali inseriti dall’utente che i dati personali del dipendente comunale che risponde alle varie richieste.

Il sistema consentiva di acquisire, memorizzare e utilizzare, attraverso le strutture informatiche di Roma Capitale e per un lungo periodo di tempo, numerosi dati degli utenti afferenti alle loro specifiche richieste, come la tipologia di prestazione, il canale utilizzato, nonché la data e l’ora della prenotazione, dunque anche dati particolari, avendo riguardo delle prenotazioni per motivi sanitari.

Il provvedimento di sanzione è stato adottato al termine di un’intensa istruttoria – coadiuvata dal prezioso intervento del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza – avviata a seguito di controlli a campione svolti dall’Autorità sulle app utilizzate dalla pubblica amministrazione per l’erogazione dei servizi. Le risultanze di detta attività avevano già portato all’adozione di un provvedimento nel marzo 2019 con il quale il Garante aveva dichiarato illeciti i trattamenti effettuati da Roma Capitale tramite la piattaforma e prescritto talune misure correttive.

Gli aspetti critici

In particolare, con il primo provvedimento l’Autorità accertava come il trattamento dei dati fosse avvenuto senza che gli utenti e i dipendenti avessero ricevuto, come richiesto dal GDPR agli articoli 13 e 14, un’informativa completa. In mancanza di tale adempimento, il trattamento risultava quindi in contrasto con gli stessi principi di liceità, correttezza e trasparenza (artt. 5, par. 1, lett. a).

Inoltre, il Garante ha ritenuto inadeguate le misure tecniche e organizzative implementate dall’Ente. L’Authority ha ricordato come l’articolo 25 del Regolamento abbia introdotto i principi di “privacy by design” e “privacy by default”, imponendo agli enti e alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.

L’approccio avrebbe dovuto essere “risk based”, in base al quale “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

L’obbligo di valutare e adottare le misure tecniche e organizzative più idonee a garantire la tutela degli interessati è, come si legge, ascritto non solo in capo al titolare del trattamento, ma anche al responsabile nominato: l’assessment su tale implementazione riguarda quindi anche i terzi fornitori a cui il titolare del trattamento ha subappaltato alcune delle operazioni di raccolta ed elaborazione.

Una verifica, questa, che non può essere circoscritta ai principi di progettazione sopra citati ma che comporta l’ampliamento dell’attività ispettiva dell’authority sino ai requisiti di cui all’art. 28 del GDPR, che come noto disciplina gli elementi tipici che l’atto di designazione del responsabile deve possedere.

In questo caso, Roma Capitale e la società fornitrice del sistema di prenotazione non avevano nemmeno regolato il loro rapporto al fine di giungere a una corretta individuazione dei ruoli e dei conseguenti obblighi.

Anzi: il Garante con separato provvedimento, ha comminato una sanzione di € 40.000,00 a Miropass, la fornitrice, rea di aver illegittimamente trattato, in qualità di titolare autonomo, i dati in violazione degli artt. degli artt. 5, par. 1, lett. a) ed e), 6 e 9, nonché 28 del Regolamento Europeo.

I controlli a distanza

Il Garante ha bocciato anche la funzione che consente di produrre report sull’attività degli addetti allo sportello, introdotta senza le necessarie garanzie previste dal quadro normativo in materia di controllo sull’attività lavorativa.

L’art. 4. Della Legge 300/1970 (e s.m.i.), più comunemente noto come Statuto dei lavoratori, con la modifica del 2015 ha introdotto la possibilità d’istallare – previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali – impianti audiovisivi e altri strumenti per il controllo a distanza dell’attività dei lavoratori, da impiegarsi esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.

La norma prevede quindi che si possa dare luogo al controllo a distanza dell’attività resa dal lavoratore ma a condizione che vi sia un previo accordo con le rappresentanze sindacali, e che sia data al lavoratore adeguata informativa circa le modalità d’uso degli strumenti e di effettuazione dei controlli.

Cosa bisogna imparare

In occasione dell’irrogazione del primo provvedimento sono state prescritte “adeguate azioni correttive volte a eliminare le criticità tecniche e organizzative (v. par. da 3.1 a 4)”, con l’obbligo per la pubblica amministrazione di fornire al riguardo un riscontro adeguatamente documentato, entro 90 giorni dalla data di ricezione.

Ebbene, il Garante, con il provvedimento del 2021, considerato che il titolare non ha mai, neppure con gli scritti difensivi consentiti, contestato i profili di merito accertati con il provvedimento del 7 marzo 2019, ha confermato l’illiceità del trattamento di dati personali, di utenti e dipendenti, effettuato dall’Ente mediante il sistema.

Con l’occasione, l’Autorità ha precisato che sebbene il trattamento sia stato intrapreso dall’Ente nel periodo precedente all’entrata in vigore del Regolamento, ai fini della individuazione della normativa applicabile, occorre tenere presente la natura permanente dell’illecito contestato, con conseguente applicazione della normativa al momento dell’atto di cessazione.

Si è concluso un procedimento molto complesso, spiega il Garante, “aggravato dalle difficoltà operative derivanti dalle scelte organizzative dell’Ente, anche sotto il profilo della corretta individuazione della figura del Responsabile della protezione dei dati, soggetta ad avvicendamenti nel corso dell’istruttoria, circostanza che ha reso meno efficace la cooperazione”.

Conclusioni

In un periodo storico segnato inevitabilmente dall’evoluzione digitale, si richiede una costante attenzione da parte dei Titolari e dei Responsabili, anche in ambito pubblico: soltanto dimostrando di aver adottato concretamente tutte le misure idonee al caso di specie e volte alla riduzione dei rischi inerenti al trattamento dei dati, si adempierà agli obblighi dettati dalla normativa. Il tema è rilevante e strategico, non solo nell’ottica della tanto agognata “accountability”, visti e considerati, da un lato, il tangibile distacco dei cittadini dalla cosa pubblica in ragione delle oscillazioni della politica, dall’altro, il necessario richiamo alla coesione nazionale in un periodo emergenziale di cui si stenta a intravedere la conclusione.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

LinkedIn

Twitter

Whatsapp

Facebook

Link