Il Comune di Roma e la società dei servizi per la mobilità sono stati sanzionati dal Garante per la Privacy per non aver adeguatamente protetto i dati dei cittadini muniti di permesso di accesso alle zone a traffico limitato. Le sanzioni, per un totale 410mila euro, sono arrivate all'esito dell'istruttoria aperta in base a una segnalazione e ad alcuni articoli di stampa.
Dai riscontri raccolti dall'Autorità - spiega la Newsletter del Garante - è emerso che i permessi di accesso esposti sulle vetture presentavano un codice a barre bidimensionale (QR code) che consentiva agli addetti di verificare in tempo reale la validità del contrassegno e a chi era stato assegnato. Il codice, però, poteva essere letto con una semplice applicazione (app) installata nella maggior parte degli smartphone in commercio. Chiunque, quindi, poteva accedere al nominativo del titolare del permesso (ad esempio il nome dell'azienda, dell'istituzione, della scuola specifica, o della persona fisica), al nominativo del suo utilizzatore e alla categoria del richiedente, nonché alla targa del veicolo. Inoltre chiunque, dopo essersi collegato, tramite il QR code, alla pagina web con i dati del permesso esaminato, poteva accedere anche alle informazioni relative agli assegnatari di altri pass semplicemente modificando il numero identificativo del contrassegno (PID).
A giudizio del Garante, la società di servizi per la mobilità non aveva valutato correttamente i rischi e aveva progettato e realizzato un sistema informativo inadeguato, che non limitava l'accesso ai dati alle sole persone autorizzate.
Anche il Comune non aveva adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento. Roma Capitale, tra l'altro, non aveva fornito alla società di servizi per la mobilità istruzioni specifiche per trattare correttamente i dati personali degli utenti, impedendo l'accesso da parte di terzi non autorizzati. Il Comune non aveva neppure designarto responsabile del trattamento un'ulteriore società che forniva il servizio di "hosting" dei sistemi informatici utilizzati per la gestione dei permessi.
Il Garante ha così applicato a Roma Capitale una sanzione di 350.000 euro, calcolata tenendo conto dell'elevato numero di persone interessate, dell'esteso lasso temporale della violazione, nonché delle precedenti violazioni in materia di privacy già commesse dall'ente locale. Alla società per la mobilità, in considerazione delle prime misure tecniche e organizzative già adottate per limitare il problema, è stata invece irrogata una sanzione di 60.000 euro. Ad entrambi sono state inoltre imposte misure correttive per limitare la consultazione dei dati personali relativi ai permessi ZTL.
Riproduzione riservata © Copyright ANSA