Quali misure di sicurezza per la tutela della privacy sono necessari per i permessi per l’accesso e la sosta nelle zone a traffico limitato (ZTL)?
Il Garante per la Protezione dei Dati Personali ha irrogato una sanzione nei confronti sia del Comune di Roma sia della società per i servizi per la mobilità per un totale di 410 mila euro per non aver adeguatamente protetto i dati dei cittadini muniti di permesso di accesso alle ZTL (zona a traffico limitato). Infatti, secondo il giudizio del Garante, non sono state adottate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento e pertanto non veniva limitato l’accesso ai dati alle sole persone autorizzate alla ZTL Inoltre, Roma Capitale, dal canto suo, non aveva fornito alla società di servizi per la mobilità istruzioni specifiche per trattare correttamente i dati personali degli utenti, impedendo l’accesso da parte di terzi non autorizzati.
Dalle verifiche effettuate dal Garante per la Protezione dei Dati Personali in seguito a una segnalazione è emerso che i permessi per l’accesso e la sosta nelle ZTL di Roma Capitale esposti sui veicoli riportano sul frontespizio un QR code. Tale codice consente a chiunque, mediante l’utilizzo di una generica applicazione per dispositivi mobili in grado di decodificarne il contenuto, di accedere a dati personali relativi al titolare del permesso ZTL o al suo utilizzatore. Inoltre, durante le verifiche effettuate dal Garante è emersa un’ulteriore criticità: chiunque, dopo essersi collegato tramite il QR code alla pagina web con i dati del permesso esaminato, poteva accedere anche alle informazioni relative agli assegnatari di altri pass semplicemente modificando il numero identificativo del contrassegno (PID).
La considerazione da cui muove l’Autorità è quella per cui sussiste, in via generale, l’obbligo, in capo al titolare del trattamento, ai sensi dell’art. 24 del Regolamento, di adottare misure tecniche e organizzative adeguate affinché il trattamento sia conforme alla disciplina in materia di protezione dei dati personali, dando, altresì, precise e dettagliate istruzioni, in tal senso, al responsabile del trattamento. Nel caso oggetto del procedimento è emersa la mancata configurazione di procedure, in grado di limitare l’accesso ai dati personali degli utilizzatori dei permessi Zona a Traffico Limitato al solo personale effettivamente autorizzato al trattamento necessario per la finalità di interesse pubblico funzionale al controllo della validità dei permessi, con conseguente possibilità che i dati personali fossero liberamente accessibili da parte di chiunque fosse in possesso di uno smartphone dotato di una generica mobile app in grado di decodificare i QR code oltre che accedere alle informative relative agli ulteriori titolari di pass.
ZTL: la sanzione irrogata a Roma Capitale per la violazione della privacy
Alla luce di quanto sopra, Roma Capitale si è resa responsabile della mancata adozione, in maniera non conforme al principio di «integrità e riservatezza», di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, creando le premesse per il verificarsi dell’illecita diffusione dei dati personali.
Alla luce di tali criticità riscontrate, l’Autorità ha notificato a Roma Capitale l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58 del GDPR sul rilievo che non sono state adottate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento e pertanto non veniva limitato l’accesso ai dati alle sole persone autorizzate.
Prendendo atto di quanto emerso in sede di audizione e delle misure già introdotte, tenendo conto della circostanza che il servizio
Il procedimento si è poi concluso con l’ingiunzione a Roma Capitale delle seguenti sanzioni:
- pagamento della somma di euro 350.000,00 (trecentocinquantamila);
- adozione entro 30 giorni dal ricevimento del provvedimento delle misure correttive necessarie ad assicurare la riservatezza dei dati trattati, facendo in modo che le password relative alle utenze dei soggetti autorizzati siano di lunghezza non inferiore a otto caratteri e siano sottoposte a un controllo automatico di qualità che impedisca l’uso di password “deboli” e che le medesime password siano modificate almeno al primo utilizzo; e adozione di misure capaci di contrastare efficacemente attacchi informatici di tipo brute force sul sistema di autenticazione online, anche introducendo limitazioni al numero di tentativi infruttuosi di autenticazione;
- fornire un riscontro adeguatamente documentato, entro 30 giorni dalla ricezione del provvedimento, in merito alle iniziative intraprese per conformare i trattamenti.