Nuove sanzioni arrivano dal Garante per la Privacy; recentemente il Comune di Roma e la società dei servizi per la mobilità sono stati sanzionati per non aver protetto in maniera adeguata i dati dei cittadini ai quali era stato il permesso di accesso alle zone a traffico limitato. Le sanzioni, che ammontano complessivamente a 410 mila euro, sono arrivate successivamente all’esito dell’istruttoria avviata successivamente ad una segnalazione e a diversi articoli stampa relativi al controllo dei pass ZTL.

Dalle prove raccolte dalle Autorità è emerso che i permessi di accesso alle zone ZTL esposti sulle vetture fossero esposti sulle vetture tramite un codice a barre bidimensionale che permetteva alle autorità di verificarne la validità in tempo reale. Questo codice però poteva anche essere letto attraverso una semplice applicazione installata in molti smartphone in commercio, perciò chiunque avrebbe potuto accedere al nominativo del titolare del permesso al nominativo del suo utilizzatore e alla categoria del richiedente, nonché alla targa del veicolo.

Oltre a questa problematica è stata riscontrata un’ulteriore criticità nella gestione dati: chiunque accedesse alla pagina del permesso tramite QR code aveva la possibilità di modificare il numero identificativo del contrassegno.

Le responsabilità del Comune e della società per l’illecita diffusione dei dati è differente.

Infatti, la società dei servizi per la mobilità non aveva calcolato correttamente i rischi nella progettazione di questo specifico sistema informativo che sarebbe potuto risultare inadeguato in quando non limitava l’accesso ai dati solamente alle persone autorizzate ma li rendeva accessibili a tutti. Il Comune di Roma allo stesso tempo non ha adottato misure tecniche che fossero in grado di garantire un livello di sicurezza adeguato ad eventuali rischi.

Bisogna anche sottolineare come Roma Capitale non abbiamo fornito istruzioni specifiche su come trattare i dati personali in maniera corretta impedendo che tersi ne possano venire in possesso senza autorizzazioni. Il comune non aveva neppure proceduto a designare responsabile del trattamento un’ulteriore società che forniva il servizio di “hosting” dei sistemi informatici utilizzati per la gestione dei permessi.

A fronte di tutte queste prove il Garante ha deciso di adottare due diversi provvedimenti. Per Roma Capitare è stata applicata una sanzione di 350.000 euro considerando sia l’elevato numero di persone interessate, l’esteso lasso temporale della violazione e le precedenti violazioni in materia di privacy già commesse dall’ente locale. Per la società per la mobilità la sanzione ammonta a 60.000 euro in quanto sono state tenute in considerazione le prime misure organizzative già adottare per limitare il problema.

In conclusione è importante sottolineare come le misure imposte siano studiare per limitare la consultazione dei dati personali relativi ai permessi ZTL.