Quali misure di sicurezza per la tutela della privacy sono necessari per i permessi per l’accesso e la sosta nelle zone a traffico limitato (“Ztl”)?

Quali misure di sicurezza per la tutela della privacy sono necessari per i permessi per l’accesso e la sosta nelle zone a traffico limitato (“Ztl”)?

Il Garante per la Protezione dei Dati Personali ha irrogato una sanzione nei confronti sia del Comune di Roma sia della società per i servizi per la mobilità per un totale di 410.000 Euro per non aver adeguatamente protetto i dati dei cittadini muniti di permesso di accesso alle zone a traffico limitato. Infatti, secondo il giudizio del Garante, non sono state adottate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento e pertanto non veniva limitato l’accesso ai dati alle sole persone autorizzate. Inoltre, Roma Capitale, dal canto suo, non aveva fornito alla società di servizi per la mobilità istruzioni specifiche per trattare correttamente i dati personali degli utenti, impedendo l’accesso da parte di terzi non autorizzati.

Dalle verifiche effettuate dal Garante per la Protezione dei Dati Personali in seguito a una segnalazione è emerso che i permessi per l’accesso e la sosta nelle zone a traffico limitato di Roma Capitale esposti sui veicoli riportano sul frontespizio un QR code. Tale codice consente a chiunque, mediante l’utilizzo di una generica applicazione per dispositivi mobili in grado di decodificarne il contenuto, di accedere a dati personali relativi al titolare del permesso “Ztl” o al suo utilizzatore. Inoltre, durante le verifiche effettuate dal Garante è emersa un’ulteriore criticità: chiunque, dopo essersi collegato tramite il QR code alla pagina web con i dati del permesso esaminato, poteva accedere anche alle informazioni relative agli assegnatari di altri pass semplicemente modificando il numero identificativo del contrassegno (PID).

La considerazione da cui muove l’Autorità è quella per cui sussiste, in via generale, l’obbligo, in capo al titolare del trattamento, ai sensi dell’art. 24 del Regolamento, di adottare misure tecniche e organizzative adeguate affinché il trattamento sia conforme alla disciplina in materia di protezione dei dati personali, dando, altresì, precise e dettagliate istruzioni, in tal senso, al responsabile del trattamento. Nel caso oggetto del procedimento è emersa la mancata configurazione di procedure, in grado di limitare l’accesso ai dati personali degli utilizzatori dei permessi “Ztl” al solo personale effettivamente autorizzato al trattamento necessario per la finalità di interesse pubblico funzionale al controllo della validità dei permessi, con conseguente possibilità che i dati personali fossero liberamente accessibili da parte di chiunque fosse in possesso di uno smartphone dotato di una generica mobile app in grado di decodificare i QR code oltre che accedere alle informative relative agli ulteriori titolari di pass.

Alla luce di quanto sopra, Roma Capitale si è resa responsabile della mancata adozione, in maniera non conforme al principio di «integrità e riservatezza», di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, creando le premesse per il verificarsi dell’illecita diffusione dei dati personali.

Alla luce di tali criticità riscontrate, l’Autorità ha notificato a Roma Capitale l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58 del Gdpr sul rilievo che non sono state adottate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento e pertanto non veniva limitato l’accesso ai dati alle sole persone autorizzate.

Prendendo atto di quanto emerso in sede di audizione e delle misure già introdotte, tenendo conto della circostanza che il servizio

Il procedimento si è poi concluso con l’ingiunzione a Roma Capitale delle seguenti sanzioni:

a)  pagamento della somma di Euro 350.000;

b) adozione entro 30 giorni dal ricevimento del provvedimento delle misure correttive necessarie ad assicurare la riservatezza dei dati trattati, facendo in modo che le password relative alle utenze dei soggetti autorizzati siano di lunghezza non inferiore a otto caratteri e siano sottoposte a un controllo automatico di qualità che impedisca l’uso di password “deboli” e che le medesime password siano modificate almeno al primo utilizzo; e adozione di misure capaci di contrastare efficacemente attacchi informatici di tipo brute force sul sistema di autenticazione online, anche introducendo limitazioni al numero di tentativi infruttuosi di autenticazione; c) fornire un riscontro adeguatamente documentato, entro 30 giorni dalla ricezione del provvedimento, in merito alle iniziative intraprese per conformare i trattamenti.

di Flavio Corsinovi


Related Articles

“730 precompilato”: in una Circolare delle Entrate le risposte ai quesiti sulla nuova Dichiarazione

  La Circolare n. 26/E del 7 luglio 2015 dell’Agenzia delle Entrate fornisce le risposte ai quesiti sottoposti dalla stampa

Imposta di bollo: confermato l’assoggettamento sui contratti stipulati tra P.A. e Aid

Con la Risposta all’Istanza di Interpello n. 44 del 12 febbraio 2019, l’Agenzia delle Entrate ha confermato l’assoggettamento ad Imposta

“Decreto Milleproroghe”: le principali disposizioni di interesse per gli Enti Locali introdotte in sede di conversione

Il commento comma per comma E’ stata pubblicata sulla G.U. n. 51 del 1° marzo 2021 la Legge 26 febbraio

Non ci sono commenti per questo articolo

Scrivi un commento
No Comments Yet! You can be first to comment this post!

Only registered users can comment.