Illecito trattamento di dati personali di utenti e dipendenti. E’ questa la motivazione che ha portato il Garante per la protezione dei dati personali a sanzionare con una multa da 500mila euro il Comune di Roma per il servizio “TuPassi”, che consente la prenotazione dei servizi di sportello e appuntamenti, anche nel settore sanitario, tramite app mobile, sito internet, totem posizionati presso le Pa e i professionisti che erogano le prestazioni.
“Il provvedimento di sanzione – spiega l’authority – è stato adottato al termine di una complessa attività istruttoria avviata a seguito di controlli svolti dall’Autorità sulle app utilizzate dalla pubblica amministrazione per l’erogazione dei servizi, condotta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. Attività che aveva già portato all’adozione di un provvedimento nel marzo 2019 – puntualizza il comunicato – con il quale il Garante aveva dichiarato illeciti i trattamenti effettuati da Roma Capitale tramite ‘TuPassi’ e prescritto talune misure correttive”.
Tra le criticità individuate da Garante il fatto che il sistema consentisse di acquisire e memorizzare sui server di Roma Capitale, per un lungo periodo di tempo, “numerosi dati degli utenti relativi alle prenotazioni (tipo di prestazione, canale utilizzato, data e ora della prenotazione) e del personale impiegato nella gestione degli appuntamenti. In quest’ultimo caso, in particolare, il sistema registrava e generava report giornalieri contenenti anche informazioni di dettaglio sull’attività lavorativa (data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa)”. Oprazioni che, sottolinea l’authority, erano effettuate senza che né gli utenti né i dipendenti avessero ricevuto, come richiesto dal Regolamento Ue, un’informativa completa sui trattamenti resi possibili dall’applicativo.
A fronte di questi rilievi il Garante ha ritenuto inadeguate le misure tecniche e organizzative implementate dall’amministrazione guidata da Virginia Raggi, che non risulta abbia disciplinato il rapporto con la società fornitrice del sistema di prenotazione. Nel mirino del garante è finita inoltre la funzione che consente di produrre report sull’attività degli addetti allo sportello, “introdotta – spiega l’authority – senza le necessarie garanzie previste dallo Statuto dei lavoratori sul controllo a distanza”.
Con un provvedimento separato il Garante ha inoltre disposto una sanzione di 40mila euro anche alla società che fornisce il sistema “per i trattamenti effettuati in qualità di autonomo titolare, in particolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti, nei casi in cui tale attività comportasse il trattamento di dati personali di utenti e dipendenti”.
“Si conclude così un procedimento complesso – conclude il comunicato – aggravato dalle difficoltà operative derivanti dalle scelte organizzative dell’Ente, anche sotto il profilo della corretta individuazione della figura del Responsabile della protezione dei dati, soggetta ad avvicendamenti nel corso dell’istruttoria, circostanza che ha reso meno efficace la cooperazione con il Garante”.
