Il Garante Privacy contro il Comune di Roma: poca trasparenza sui dati
Utenti e dipendenti dei servizi pubblici di Roma Capitale non sufficientemente tutelati: app e server TuPassi non a norma GDPR.
Sanzione da 500mila euro contro il Comune di Roma. Per il Garante per la protezione dei dati personali, il trattamento delle informazioni di utenti e dipendenti effettuato attraverso “TuPassi”, ovvero il sistema di prenotazione degli appuntamenti utilizzato da Roma Capitale, sarebbe risultato poco trasparente e non conforme alla normativa vigente.
Il provvedimento arriva dopo la conclusione dell’attività istruttoria, successiva ai controlli effettuati dal Garante sui sistemi impiegati dal Comune di Roma per la prenotazione di servizi e prestazioni di varie tipologie. A condurre l’operazione insieme all’Autorità, anche il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza. Diverse sono state le irregolarità riscontrate, nonostante il precedente provvedimento sempre sulla stessa questione risalente all’anno 2019. Anche nel marzo di due anni fa, il Garante si era espresso negativamente sui trattamenti dei dati effettuati tramite “TuPassi” da Roma Capitale, richiedendo alcune misure correttive per aderire alla regolamentazione europea.
Garante della Privacy contro il Comune di Roma, le irregolarità riscontrate
Come anticipato, al centro delle irregolarità è stato il trattamento dei dati personali – anche sensibili – degli utenti che effettuavano prenotazioni di prestazioni sanitarie o appuntamenti a sportello attraverso “TuPassi”. Tra i canali disponibili, oltre all’app e al sito web dedicato, anche i totem disponibili presso le sedi della Pubblica Amministrazione e i professionisti del circuito.
Come indicato dall’attività istruttoria, il sistema provvedeva a memorizzare una cospicua quantità di riferimenti dei cittadini, tra cui dati personali, data e ora della prenotazione e tipologia di prestazione, sui server di Roma Capitale per lungo tempo. Anche per i dipendenti la situazione ha mostrato diversi punti oscuri: infatti, quotidianamente venivano registrati e generati report con i dettagli dell’attività lavorativa (data della richiesta, servizio prenotato, nominativo dell’addetto incaricato della gestione della richiesta, tempo di chiamata e di attesa), senza le garanzie introdotte dallo Statuto dei lavoratori in merito al controllo a distanza.
Ad aggravare la situazione è stata l’assenza di un’informativa sui trattamenti di tali informazioni, né per gli utenti né per i dipendenti, contrariamente a quanto stabilito dal Regolamento Ue attualmente vigente. Sotto la lente d’ingrandimento sono finite anche le misure tecniche e organizzative dell’Ente, considerate inadeguate secondo l’Autorità regolatrice, colpevole anche di non aver gestito correttamente il rapporto con la società fornitrice. Per quest’ultima, con un provvedimento separato, il Garante ha previsto anche una sanzione di 40mila euro relativa al ruolo di titolare del trattamento dei dati personali di utenti e dipendenti e all’attività che ne concerne.
Garante della Privacy contro il Comune di Roma, cosa succede ora?
Per tornare a utilizzare il sistema di prenotazione “TuPassi”, l’Autorità ha richiesto tutti i necessari aggiornamenti a tutela della privacy dei dati delle figure coinvolte, ovvero utenti e dipendenti di Roma Capitale. Il Garante ha inoltre fornito una serie di indicazioni da rispettare, al fine di rendere il servizio conforme alla normativa vigente.
