I dati personali relativi agli utenti titolari dei permessi di accesso alla Ztl di Roma sono stati illecitamente esposti a chiunque. E per questa ragione il Garante Privacy ha deciso di multare sia il Comune di Roma sia la società per i servizi per la mobilità per complessivi 410mila euro, di cui la fetta più importante – 350mila euro – a carico dell’amministrazione capitolina.
Le verifiche del Garante – effettuate a seguito di una segnalazione e ad alcuni articoli di stampa – hanno dimostrato che il codice a barre bidimensionale (QR code) presente sui permessi di accesso esposti sulle vetture poteva essere letto con una semplice applicazione (app) installata nella maggior parte degli smartphone in commercio “Chiunque, quindi, poteva accedere al nominativo del titolare del permesso, ad esempio il nome dell’azienda, dell’istituzione, della scuola specifica, o della persona fisica, al nominativo del suo utilizzatore e alla categoria del richiedente, nonché alla targa del veicolo”, spiega il Garante Privacy.
La società di servizi per la mobilità – designata responsabile del trattamento dei dati da Roma Capitale – “non aveva valutato correttamente i rischi” e aveva progettato e realizzato “un sistema informativo inadeguato, che non limitava l’accesso ai dati alle sole persone autorizzate”. Anche il Comune – titolare del trattamento dei dati relativi ai pass –“non aveva adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento”. Roma Capitale, tra l’altro – evidenzia l’Autorità – “non aveva fornito alla società di servizi per la mobilità istruzioni specifiche per trattare correttamente i dati personali degli utenti del servizio (titolari dei permessi Ztl e utilizzatori), impedendo l’accesso da parte di terzi non autorizzati”. Il Comune, aggiunge il Garante, “non aveva neppure proceduto a designare responsabile del trattamento un’ulteriore società che forniva il servizio di “hosting” dei sistemi informatici utilizzati per la gestione dei permessi”.
Due i provvedimenti correttivi e sanzionatori adottati dal garante Privacy: a Roma Capitale è stata applicata una sanzione di 350.000 euro, calcolata tenendo conto dell’elevato numero di persone interessate, dell’esteso lasso temporale della violazione, nonché delle precedenti violazioni in materia di privacy già commesse dall’ente locale. Alla società per la mobilità, in considerazione delle prime misure tecniche e organizzative già adottate per limitare il problema, è stata invece irrogata una sanzione di 60.000 euro. Ad entrambi sono state inoltre imposte misure correttive per limitare la consultazione dei dati personali relativi ai permessi Ztl.
